Il responsabile per la protezione dati non può rivestire nell'organizzazione del titolare altri ruoli che comportino la definizione delle finalità o delle modalità del trattamento.

1. I fatti: responsabile protezione dati e altri ruoli

Il Garante per la protezione dei dati personali effettuava un controllo sul sito web istituzionale di un Consorzio comunale siciliano dal quale non riusciva a reperire i dati di contatto del Responsabile della protezione dei dati personali (RPD) e non risultava che il Consorzio avesse effettuato la comunicazione dei dati di contatto di tale soggetto al Garante stesso.

Pertanto, l’Ufficio notificava al Consorzio l’avvio del procedimento per l’adozione dei provvedimenti per la mancata pubblicazione dei dati di contatto del RPD e per non aver comprovato che lo stesso fosse stato effettivamente designato, invitando il Consorzio a fornire chiarimenti in merito.

Il Consorzio comunicava di aver da tempo provveduto alla nomina del RPD con apposito provvedimento e che il soggetto designato già ricopriva il ruolo di responsabile di diversi servizi all’interno dell’Ente e precisamente dei sistemi informatici, del Turismo e del servizio legale. In secondo luogo, il Consorzio riferiva che i dati di contatto di tale soggetto erano già presenti sul sito web istituzionale ben prima che fosse notificata la Nota del Garante e produceva le relative schermate del sito web.

Infine, il Consorzio precisava che, a seguito della comunicazione del Garante, aveva provveduto ad effettuare una ulteriore pubblicazione sul sito web dove vi erano tutti i dati di contatto e i riferimenti direttamente nella home page e facilmente riconoscibili. Invece, il Consorzio procedeva alla comunicazione dei dati del RPD al Garante soltanto dopo aver ricevuto la comunicazione dell’autorità.

Preso atto delle suddette difese del Consorzio, il Garante notificava un'ulteriore apertura del procedimento per adozione dei relativi provvedimenti sanzionatori nei confronti del Consorzio, in quanto dalle stesse dichiarazioni di quest'ultimo era emerso che il ruolo di RPD era stato affidato a un soggetto, che in ragione degli ulteriori compiti sul medesimo incombenti, non era in possesso delle necessarie risorse, anche sotto il profilo temporale, per poter svolgere al meglio le funzioni proprie di RPD ed inoltre in quanto si trovava in possibile situazione di conflitto di interesse.

2. La valutazione del Garante

Il Garante ha precisato che il Regolamento Europeo per la protezione dei dati personali (GDPR) impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo (quale appunto il Garante medesimo). L’obiettivo delle norme del GDPR sul punto è quello di garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile.

In secondo luogo, il Garante ha precisato che tra le risorse che il titolare del trattamento deve assegnare al RPD c’è anche il tempo sufficiente per poter svolgere i compiti che sono affidati allo stesso RPD. La mancanza di tempo sufficiente per poter svolgere i compiti affidatigli, comporta infatti il rischio che dette attività vengano trascurate a causa di conflitti con altre priorità. In altri termini, secondo il Garante, il RPD deve disporre di tempo sufficiente da dedicare allo svolgimento dei compiti che gli sono stati assegnati, in quanto la funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.

Infine, il Garante ha precisato che l’assenza di conflitti di interessi del RPD è strettamente connessa agli obblighi di indipendenza previsti dalla normativa.

Infatti, anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. La valutazione della sussistenza di un potenziale conflitto di interessi deve essere valutato caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. A titolo esemplificativo, secondo il Garante, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice, quali amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT, responsabile dei sistemi informativi o dell’ufficio di statistica, ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, più in generale, il RPD non può essere chiamato a svolgere, in prima persona, attività che, in base al GDPR, competono al titolare/responsabile.