IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(Regolamento generale sulla protezione dei dati) (di seguito,
regolamento);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di protezione dei dati personali (di seguito,
Codice);
Viste le «Linee guida sui responsabili della protezione dei dati»,
adottate dal Gruppo di lavoro art. 29 (WP29) il 13 dicembre 2016 ed
emendate il 5 aprile 2017;
Viste le «Faq sul Responsabile della Protezione dei dati (RPD) in
ambito pubblico», adottate dal Garante il 15 dicembre 2017
(reperibili su www.garanteprivacy.it doc. web n. 7322110);
Visti, inoltre, la nota recante «Quesiti in materia di
certificazione delle competenze ai fini della prestazione di
consulenza in materia di protezione dei dati personali», del 28
luglio 2017 (doc. web n. 7057222), ed i «Chiarimenti
sull'applicazione della disciplina per il trattamento dei dati
relativi alla salute in ambito sanitario», emanati dal Garante il 7
marzo 2019 (doc. web n. 9091942);
Visti i reclami, le segnalazioni ed i quesiti pervenuti
all'Autorita' e, in generale, tutte le istruttorie condotte e in
corso di svolgimento concernenti la figura del Responsabile per la
protezione dei dati personali (di seguito, RPD) in ambito pubblico,
nonche' i provvedimenti adottati dal Garante in proposito (cfr., a
questo proposito, anche quanto riportato nelle relazioni annuali);
Viste, altresi', le attivita' ispettive condotte tra il settembre
2019 e il gennaio 2020 con riferimento a societa' che forniscono il
servizio di RPD nei confronti di enti pubblici, nonche' l'indagine
comparativa svolta con le Autorita' degli altri Paesi UE sotto forma
di assistenza reciproca volontaria di cui all'art. 61 del
regolamento;
Vista la campagna promossa dall'Autorita', nel corso del 2020, nei
confronti dei soggetti pubblici (in particolare, i comuni) in
relazione ai quali si sono registrate lacune ed inesattezze nella
comunicazione dei dati di contatto del RPD, prevista dall'art. 37,
par. 7, del regolamento, al fine ottenere la regolarizzazione di tale
adempimento;
Visti, infine, gli orientamenti emersi anche da parte di altri
organismi pubblici che si sono pronunciati in tema di RPD
(giurisprudenza, decisioni di altre autorita' indipendenti
settoriali);
Rilevato che, nel corso dei tre anni trascorsi dall'applicazione
del regolamento, dal complesso delle attivita' effettuate nonche'
dalle numerose occasioni nell'ambito delle quali l'Autorita' ha avuto
modo di intrattenere contatti con RPD in ambito pubblico, anche con
riferimento a specifiche istruttorie, sono emerse numerose incertezze
nell'applicazione delle norme del regolamento concernenti la figura
del RPD;
Rilevato che, alla luce della citata attivita' svolta (e di quella
in corso di svolgimento) da parte del Garante, si rende necessario
correggere le distorsioni emerse e fornire chiarimenti su numerosi
profili concernenti il ruolo, la posizione e i compiti del RPD in
ambito pubblico, al fine di rafforzare la figura del RPD in un ampio
e rilevante settore (quale quello pubblico) caratterizzato
dall'obbligatorieta' della designazione ai sensi dell'art. 37, par.
1, lettera a), del regolamento, in modo che i titolari e i
responsabili del trattamento, in attuazione del principio di
accountability, si trovino nelle migliori condizioni per assicurare
che il trattamento dei dati personali sia sempre conforme alla
disciplina in materia;
Considerato che il Garante ha il compito di promuovere la
consapevolezza e la comprensione del pubblico, dei titolari e dei
responsabili del trattamento riguardo a norme, obblighi, rischi,
garanzie e diritti stabiliti dal regolamento (ai sensi dell'art. 57,
par. 1, lettera b) e d), del regolamento) e, in quest'ottica, il
potere di adottare linee guida di indirizzo riguardanti le misure
organizzative e tecniche di attuazione dei principi del regolamento,
anche per singoli settori e in applicazione dei principi di cui
all'art. 25 del regolamento (ai sensi dell'art. 154-bis, comma 1,
lettera a), del Codice);
Ritenuto, pertanto, di dover adottare l'allegato «Documento di
indirizzo su designazione, posizione e compiti del Responsabile della
protezione dei dati (RPD) in ambito pubblico», volto a fornire i
chiarimenti agli interrogativi di maggior rilievo che sono venuti
finora all'attenzione dell'Autorita' con riferimento alla figura del
RPD che opera in ambito pubblico, nonche' a suggerire delle misure
ritenute adeguate al fine di rafforzare il ruolo del RPD nelle
amministrazioni pubbliche, quale elemento centrale nella
realizzazione delle tutele imposte dal regolamento in materia di
protezione dei dati personali;
Considerato che il citato Documento di indirizzo si rivolge sia a
titolari e responsabili del trattamento in ambito pubblico, in
ragione degli obblighi che il regolamento attribuisce loro ai fini
dell'adozione delle misure necessarie per rendere i trattamenti
conformi alla disciplina in materia di protezione dei dati personali,
che agli stessi RPD, al fine di fornire loro indicazioni utili per
l'assolvimento dei propri compiti di supporto e vigilanza nei
confronti degli enti pubblici che li hanno designati;
Considerato, in ogni caso, che la violazione degli obblighi
stabiliti dal regolamento in materia di RPD (in particolare, articoli
37-39), una volta accertata dal Garante nell'esercizio dei propri
compiti istituzionali, comporta l'applicazione dei poteri correttivi
previsti dall'art. 58, par. 2, del regolamento nei confronti di
titolari e responsabili del trattamento, compreso il potere di
infliggere una sanzione pecuniaria ai sensi dell'art. 83 del medesimo
regolamento;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Ginevra Cerrina Feroni;
Tutto cio' premesso, il Garante:
a) adotta, ai sensi dell'art. 57, par. 1, lettera b) e d), del
regolamento, e dell'art. 154-bis, comma 1, lettera a), del Codice, il
«Documento di indirizzo su designazione, posizione e compiti del
Responsabile della protezione dei dati (RPD) in ambito pubblico»,
contenuto nel documento allegato che forma parte integrante della
presente deliberazione;
b) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 29 aprile 2021
Il Presidente
Stanzione
Il relatore
Cerrina Feroni
Il segretario generale
Mattei