Linee guida GDPR sui responsabili della protezione dei dati (RPD) dell’Autorità Garante per la protezione dei dati personali
Adottate il 13 dicembre 2016 – Versione emendata e adottata in data 5 aprile 2017
Compiti del RPD
Sorvegliare l’osservanza del RGPD
L’art. 39, paragrafo 1, lettera b), affida al RPD, fra gli altri, il compito di sorvegliare l’osservanza del RGPD. Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal RPD] nel controllo del rispetto a livello interno del presente regolamento”.
Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,
– la raccolta di informazioni per individuare i trattamenti svolti;
– l’analisi e la verifica dei trattamenti in termini di loro conformità,
– l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.
Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, “mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del RPD.
Il ruolo del RPD nella valutazione di impatto sulla protezione dei dati
In base all’art. 35, paragrafo 1, spetta al titolare del trattamento, e non al RPD, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nell’acronimo inglese). Tuttavia, il RPD svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di tale DPIA. In ossequio al principio di “protezione dei dati fin dalla fase di progettazione” (o data protection by design), l’art. 35, secondo paragrafo, prevede in modo specifico che il titolare “si consulta” con il RPD quando svolge una DPIA. A sua volta, l’art. 39, primo paragrafo, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Il WP29 raccomanda che il titolare si consulti con il RPD, fra l’altro, sulle seguenti tematiche:35
– se condurre o meno una DPIA;
– quale metodologia adottare nel condurre una DPIA;
– se condurre la DPIA con le risorse interne ovvero esternalizzandola;
– quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
– se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD.
Qualora il titolare non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
Inoltre, il WP29 raccomanda che il titolare definisca con chiarezza, per esempio nel contratto stipulato con il RPD, ma anche fornendo informative ai dipendenti, agli amministratori e, ove pertinente, ad altri aventi causa, i compiti specificamente affidati al RPD e i rispettivi ambiti, con particolare riguardo alla conduzione della DPIA.
Cooperazione con l’autorità di controllo e funzione di punto di contatto
In base all’art. 39, paragrafo 1, lettere d) ed e), il RPD deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.
Questi compiti attengono al ruolo di “facilitatore” attribuito al RPD e già menzionato nell’introduzione alle presenti Linee-guida. Il RPD funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’art. 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58. Si è già rilevato che il RPD è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (art. 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il RPD di contattare e chiedere lumi all’autorità di controllo. L’art. 39, paragrafo 1, prevede che il RPD possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.
Approccio basato sul rischio
In base all’art. 39, secondo paragrafo, il RPD deve “considera[re] debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
Si tratta di una disposizione di portata generale e ispirata a criteri di buon senso, verosimilmente applicabile sotto molti riguardi all’attività quotidiana del RPD. In sostanza, si chiede al RPD di definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati. Seppure ciò non significhi che il RPD debba trascurare di sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio comparativamente inferiore, di fatto la disposizione segnala l’opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.
Attraverso questo approccio selettivo e pragmatico, il RPD dovrebbe essere più facilmente in grado di consigliare al titolare quale metodologia seguire nel condurre una DPIA, a quali settori riservare un audit interno o esterno in tema di protezione dei dati, quali attività di formazione interna prevedere per il personale o gli amministratori che trattino dati personali, e a quali trattamenti dedicare maggiori risorse e tempo.
Il ruolo del RPD nella tenuta del registro delle attività di trattamento
L’art. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il RPD, a “ten[ere] un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.
Nella realtà, sono spesso i RPD a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’Ue.
L’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell’art. 30 deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell’osservanza delle norme e, pertanto, un’efficace misura di responsabilizzazione.
