di Roberto Lenzu, componente Osservatorio tecnico e docente Anutel.
Sulla nomina del Responsabile della protezione dei dati (Rpd) ai fini della privacy gli enti pubblici sembrano muoversi in ordine sparso e taluni effettuano scelte di dubbio fondamento giuridico, complice l’impellenza di provvedere e la non adeguata attenzione dedicata alla normativa.
Appare dubbio, ad esempio, che tale funzione possa essere attribuita a soggetti non persone fisiche o privi di competenze giuridiche o di effettiva indipendenza. Come è noto, in materia di privacy, il 25/5 scorso è entrato in vigore, il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27/4/2016 (di seguito Regolamento Ue), normativa immediatamente efficace anche nel nostro ordinamento. Tra le innovazioni introdotte vi è quella che obbliga i titolari o responsabili del trattamento dati a nominare il responsabile della protezione dei dati (Rpd o Dpo in inglese).
In particolare, la figura del Rpd è regolata al 97° «considerando» e alla sez. 4 del Regolamento Ue. Al Rpd è attribuito il compito di assistere il titolare e il responsabile del trattamento dei dati nell’esercizio delle proprie funzioni. Il Rpd svolge funzioni di informazione, consulenza e sorveglianza del rispetto della normativa, fornisce pareri, coopera e funge da contatto con la competente autorità di controllo, valuta i rischi del trattamento. Il Regolamento Ue dispone l’attribuzione delle funzioni di Rpd a soggetti qualificati unicamente come «persone» senza nulla aggiungere. Diversi indici rilevabili nell’ambito del Regolamento Ue, inducono a ritenere che si sia optato per una definizione di persona fisica in senso stretto. Ciò emergerebbe, innanzitutto, dal principio «dove la legge ha voluto ha detto, dove non ha voluto ha taciuto», confrontando con quanto disposto per le figure del titolare e del responsabile del trattamento dei dati. Per tali ultime figure, il legislatore ha ricondotto in modo estensivo la titolarità soggettiva in capo a persone fisiche e giuridiche, ad autorità pubbliche, servizi e ad altri organismi. In secondo luogo, al 97° «considerando» e all’art. 37, par. 6, del Regolamento, è previsto che il medesimo soggetto Rpd possa alternativamente essere dipendente o legato da un contratto di servizio al titolare o al responsabile dei dati. Verrebbe da sentenziare che anche in tale occasione si sia voluto far riferimento alla persona fisica, visto che solo quest’ultima può essere considerata «dipendente» in senso stretto. Le caratteristiche che deve possedere la figura del Rpd, secondo il Regolamento Ue, sembrano presupporre la sussistenza di un rapporto professionale di tipo personale e fiduciario. Da una parte, infatti, la disciplina richiede di assicurare l’indipendenza, ovvero concreta autonomia di giudizio e di azione del Rpd. Ciò significa che se l’ente attribuisce le funzioni di Rpd a un proprio dipendente, quest’ultimo non potrà far parte dell’organizzazione gerarchica dell’ente stesso. Dall’altra, è richiesta una competenza specifica del Rpd in materia giuridica, con una conoscenza specifica della normativa comunitaria-internazionale e di diritto interno in materia di diritto alla riservatezza, ma anche in materie connesse come ad esempio: libera circolazione e disponibilità dei dati; diritti dell’uomo e della personalità; materia processuale e procedimentale. Costituisce infine valore aggiunto e qualificante se il Rpd possiede anche conoscenze ed esperienze in materia informatica, ma ciò non significa che tale importante figura possa essere attribuita, come sta accadendo in molti enti, ad informatici o addirittura a società digiuni delle alte competenze giuridiche richieste.
Fonte: 