i chiarimenti

Responsabile della protezione dei dati personali: cooperazione con il Garante e obblighi di segretezza o riservatezza

Tra i compiti “obbligatori” del responsabile della protezione dei dati personali figurano la cooperazione con l’autorità di controllo e la funzione di “punto di contatto” per l’autorità per questioni connesse al trattamento. Ecco come adempiere a questi obblighi nel rispetto del vincolo del segreto o della riservatezza

Pubblicato il 10 Set 2018

Marzio Vaglio

avvocato

shutterstock_766462015

Come sappiamo, il responsabile della protezione dei dati personali (RPD ovvero, secondo l’acronimo di lingua inglese, DPO) può essere un “dipendente” del titolare o del responsabile del trattamento che se ne avvalgono, ovvero “assolvere i suoi compiti in base a un contratto di servizi” (art. 37,6 GDPR).

I compiti del DPO

Nell’uno e nell’altro caso è l’art. 39 del GDPR che descrive, piuttosto dettagliatamente, i compiti che devono essere affidati dal designante al DPO: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: (…)”. La formulazione della norma non lascia dubbi sul fatto che tutti i compiti elencati dal 1° paragrafo, lettere da a) a e), devono essere affidati al DPO, mentre l’avverbio “almeno”, ci lascia comprendere che il titolare o il responsabile del trattamento ben potrebbero incaricare il DPO di ulteriori compiti. Naturalmente – ma non approfondiremo in questa sede il punto – dovrà trattarsi di compiti non incompatibili con quelli elencati dall’art. 39 e, in particolare, tali da non indurre situazioni di conflitto d’interessi (art.38,6) o compromettere l’indipendenza del DPO.

I compiti “obbligatori”

Tra i compiti, per dir così, “obbligatori” nel senso che non possono mancare nell’incarico del DPO, leggiamo nell’art. 39 che il responsabile della protezione è incaricato di:

  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Per ben comprendere, in concreto, il significato e gli orizzonti di questi due “compiti”, è bene tener presente, con riguardo alla posizione del responsabile della protezione, l’art. 38,5 GDPR, in virtù del quale “Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.”.

Sul punto si esprimono anche, piuttosto sommariamente invero, le “Linee guida sui responsabili della protezione dei dati – WP243 Rev. 01” del Gruppo di lavoro articolo 29 per la protezione dei dati.

Il vincolo di riservatezza e il rapporto con l’Autorità di controllo

Questi compiti attengono al ruolo di “facilitatore” attribuito al DPO e già menzionato nell’introduzione alle presenti linee guida. Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58. Si è già rilevato che il DPO è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il DPO di contattare e chiedere lumi all’autorità di controllo. L’articolo 39, paragrafo 1, prevede che il DPO possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.

Ebbene, le poche righe che precedono – nella loro apparente semplicità – inducono ad una riflessione che merita un approfondimento che forse finora è mancato: sembrerebbe, infatti, da poter ricavare dalle parole impiegate dal WP29 che il DPO possa, se non debba, consegnare all’autorità documenti e informazioni che, dichiaratamente, potrebbero essere da essa utilizzate per ricavarne evidenze di inadempimenti sanzionabili.

Ciò sembra contrario all’essenza stessa dell’obbligo di segreto/riservatezza e, su un piano più generale, del canone generale “nemo tenetur se detegere”, che è principio di diritto comune agli ordinamenti degli Stati membri dell’Unione europea, ben conosciuto sia dalla Corte di giustizia dell’Unione europea, sia dalla Corte europea di Strasburgo.

Allora occorre chiedersi: che rapporto c’è tra l’obbligo del segreto o della riservatezza e il dovere di cooperazione con l’autorità di controllo? Fin dove si estende tale cooperazione? La facoltà, attribuita al DPO, di consultare l’autorità di controllo per qualunque questione connessa al trattamento, come deve esercitarsi in concreto per essere coerente con l’obbligo di segreto o riservatezza?

Il vincolo di riservatezza e il rapporto con il soggetto designante

Riassumiamo per sommi capi – visti i limiti di questo intervento – quelli che sembrano essere i punti più immediati da cui muovere, in modo da poter scorgere soluzioni operative quanto più aderenti alla lettera e allo spirito delle norme in esame.

  • In primo luogo, osserviamo che, mentre l’obbligo di segreto/riservatezza è imposto in via diretta dal Regolamento (art. 38,5), quale uno degli aspetti qualificanti della posizione giuridica di esso, il “cooperare con l’autorità di controllo” è un dovere impostogli – per via mediata – attraverso l’incarico ricevuto dal soggetto designante (titolare o responsabile del trattamento che sia).

Diciamo subito, incidentalmente, che trattandosi di un compito derivante dall’incarico (sia pure un compito obbligatorio, nel senso che “deve” essere contenuto nell’incarico giusta l’art. 39,1,d) tale compito non può che essere svolto nell’interesse del designante e non già dell’autorità di controllo. Ma su questo aspetto torneremo di qui a poco.

  • Il vincolo di segretezza/riservatezza del DPO riguarda “l’adempimento dei propri compiti: espressione tanto generale da ricomprendere qualsiasi attività svolta dal DPO a seguito della sua designazione, tenendo a mente che si tratta di attività svolte per conto o comunque nell’interesse del titolare o responsabile del trattamento.

A tal proposito, vale anche la pena di sottolineare la natura del rapporto tra designante e DPO, che non può che essere strettamente fiduciaria, sia qualora costui sia un dipendente del designante, sia nel caso che sia un esterno con rapporto regolato da apposito contratto di servizi.

  • La norma inoltre fa espresso riferimento a obblighi di segreto/riservatezza stabiliti dal diritto dell’Ue o degli Stati membri: come esempio di obblighi legali di segretezza/riservatezza, possiamo pensare al segreto professionale (DPO esterno) o al segreto d’ufficio (DPO interno), che certamente non sono le uniche ipotesi immaginabili ma soltanto quelle più frequenti.

Se pure il riferimento normativo esplicito riguarda un obbligo legale, può ritenersi equivalente un obbligo di segretezza/riservatezza di natura contrattuale? Anche senza dilungarci su un’analisi giuridica della nozione di “segreto”, sembra a chi scrive di poter affermare che esistono serie ragioni sistematiche per ritenere che anche un obbligo meramente contrattuale di segretezza/riservatezza (che potrebbe, per esempio, essere contenuto nel contratto di servizi o nell’atto di nomina del RPD) sarebbe un vincolo legittimo, sufficiente, effettivo ed efficace per il DPO nell’assolvimento dei propri compiti.

  • Ragionando infine a contrario, c’è infine da dire che il GDPR disegna con chiarezza il principio di accountability con specifico riguardo del titolare del trattamento (non del responsabile del trattamento e, ancor meno, del responsabile della protezione dei dati).

Dovrebbe ritenersi pacifico, dunque, che l’onere di documentare e “di essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento” (art. 24) incombono direttamente sul titolare e non certo sul responsabile della protezione da costui designato.

Il senso della cooperazione con l’Autorità di controllo

Si vedrà nel concreto, alla prova dell’applicazione vivente di queste disposizioni, quali saranno gli orientamenti in proposito della prassi, delle autorità di controllo, dei giudici e degli studiosi. Al momento, sembra di poter offrire – più come spunto, che come soluzione – alcune considerazioni conclusive che ci sembrano appropriate.

Cooperare” con l’autorità di controllo non può tradursi in un obbligo di denuncia a carico del DPO, né in una collaborazione che si spinga fino a concretizzarsi in una violazione del segreto o della riservatezza; ancor meno, si ritiene, se accanto al vincolo generale di segretezza, di cui all’art. 38,5 del regolamento, tale obbligo fosse rafforzato, per ipotesi, dalla simultanea sussistenza di un obbligo legale di segreto professionale.

La eventuale richiesta di documenti e informazioni al DPO da parte dell’autorità di controllo deve piuttosto essere intesa quale espressione della funzione di “punto di contatto” a costui attribuita dal GDPR: nel concreto, è lecito ritenere che una tale richiesta debba essere trasferita dal DPO a chi lo ha designato, cui competerà di decidere responsabilmente se e in che misura adempiere ad essa secondo gli obblighi stabiliti dal regolamento.

Al contrario, è difficile immaginare e sostenere sulla base del regolamento che incomba sul responsabile della protezione un obbligo personale e diretto di fornire all’autorità di controllo alcun documento appartenente al titolare o informazione relativa ai trattamenti da costui effettuati, a meno di non voler ritenere ammissibile che l’obbligo di riservatezza non sia operante, per qualche ragione che tuttavia non troviamo nel regolamento, nei confronti dell’autorità stessa nell’esercizio dei suoi poteri, in particolare, di indagine e correttivi.

La “cooperazione” con l’autorità, allora, si esprimerà soprattutto in tutte quelle attività necessarie ed opportune per stimolare la corretta risposta del titolare/responsabile all’autorità e assisterlo nell’adempimento, conformemente al ruolo del DPO quale “facilitatore” nell’osservanza del Regolamento.

Rientra certamente nella “cooperazione”, tra l’altro, il tempestivo e fattivo intervento del DPO a fronte di richieste o iniziative dell’autorità, da inoltrare al più presto al titolare o responsabile, nonché – immediatamente dopo – l’espressione del proprio parere in merito con qualsiasi indicazione utile per l’adempimento necessario.

La facoltà di consultazione

A proposito, infine, della “facoltà di consultazione” dell’autorità di controllo attribuita al DPO, essa non può che essere intesa a beneficio e supporto della funzione da esso esercitata e non quale strumento, anche solo indiretto, di «accusa» nei confronti del titolare o responsabile del trattamento.

La facoltà di consultazione del responsabile è espressamente disegnata sulla consultazione preventiva di cui all’art. 36, nei casi – evidentemente – ove questa costituisca un preciso obbligo per il titolare del trattamento; tuttavia la norma (art. 39,1,e) disegna un panorama più ampio, ove la consultazione “su qualunque altra questione” diventa un’opportunità facoltativa del titolare, per il tramite del responsabile della protezione, al fine di istituire, mantenere e documentare una corretta politica di protezione dei dati personali.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati