Il GDPR protegge tutti i diritti fondamentali: anche quelli dei DPO

In particolare, l’esercizio di queste attività extra-istituzionali non potrebbe, in qualche modo, intaccare il suo ruolo di dipendente pubblico, che, indubitabilmente ha sempre il dovere di adempiere le sue funzioni con disciplina ed onore nonchè con diligenza, obbedienza e fedeltà?

La risposta a queste domande va cercata negli Ordinamenti Internazionale, Eurounitario e Nazionale nonché, in particolare, proprio nel GDPR.

     Indice

1. Il DPO nel settore pubblico
2. I compiti e la posizione di impiego del DPO “interno” di un Ente Pubblico
3. L’attività di comunicazione del DPO “interno” di un Ente Pubblico
4. La libertà di espressione dei DPO “interni” alle Pubbliche Amministrazioni
5. Le attività extra-istituzionali che i DPO “interni” agli Enti Pubblici possono sempre liberamente svolgere
6. Il GDPR protegge anche i diritti fondamentali dei DPO.

1. Il DPO nel settore pubblico

L’art.37, ai paragrafi 1 e 5 del GDPR, stabilisce che un’autorità pubblica o un organismo pubblico che rivesta il ruolo di titolare e/o di responsabile del trattamento ha l’obbligo di designare sistematicamente un DPO, in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti fissati dall’articolo 39 del GDPR.

Il DPO designato dall’Amministrazione pubblica può essere un professionista esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi o può anche essere un dipendente della stessa Amministrazione.

In questo ultimo caso, il DPO, quale dipendente pubblico, dopo la designazione, continua ad avere il primario dovere, sancito dagli artt. 54 e 97 della Costituzione, di adempiere le sue funzioni pubbliche con disciplina ed onore e di operare con diligenza, obbedienza e fedeltà, al fine di assicurare il buon andamento della Pubblica Amministrazione.

2. I compiti e la posizione di impiego del DPO “interno” di un Ente Pubblico

Il DPO “interno” di un Ente pubblico svolge una gamma di compiti:

1. alcuni aventi rilevanza interna: i.e. consulenza, pareri, sorveglianza sul rispetto delle disposizioni;
2. altri a rilevanza esterna: i.e. cooperazione con l’Autorità Garante e contatto con gli interessati in relazione all’esercizio dei loro diritti.

Si è posto il problema se tali compiti siano o meno compatibili con le mansioni ordinariamente affidate ai dipendenti pubblici con qualifica non dirigenziale.

L’Autorità Garante, al punto 10.4 del documento allegato al Provvedimento GPDP del 29 aprile 2021 n.186 [doc. web n. 9589104], in linea con quanto stabilito dall’art.38 GDPR, ha evidenziato che, nel caso in cui un Ente pubblico opti per un DPO “interno”, sarebbe, in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

3. L’attività di comunicazione del DPO “interno” di un Ente Pubblico

Nel quadro di situazione descritto, il DPO “interno” ad un Ente pubblico svolge un’attività di:

1. “comunicazione interna” per fornire consulenza e pareri e svolgere la sorveglianza sul rispetto delle disposizioni;
2. “comunicazione esterna” per gestire la cooperazione con l’Autorità Garante e i contatti con gli interessati in relazione all’esercizio dei propri diritti.

Questo è il perimetro di azione del DPO “interno” ad un Ente pubblico disegnato dal GDPR.

Eppure, sussiste un’altra importante esigenza di comunicazione esterna del DPO che non è codificata: è quella di confrontarsi con gli altri DPO del settore pubblico o con esperti della specifica normativa, per irrobustire le proprie competenze da porre al servizio dell’Ente che lo ha designato.

La riprova di una tale esigenza è il famoso progetto T4DATA (ossia “Training For Data”) in esecuzione del quale sono state realizzate varie attività transnazionali di formazione dei formatori (realizzate nel 2018) e, a livello nazionale, numerose iniziative formative gratuite dedicate proprio ai DPO operanti presso i soggetti pubblici, tra cui un ciclo di seminari in varie città d’Italia, un manuale e una vasta offerta di webinar tenuti da esperti giuristi e funzionari e dirigenti del Garante e dedicati ad approfondire numerosi temi del GDPR e della disciplina nazionale in materia di protezione dei dati personali.

La condivisione della conoscenza della complessa normativa in materia di Data Protection è quindi certamente funzionale a promuovere la consapevolezza e a favorire la comprensione diffusa riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti di dati personali.

Potrebbero interessarti anche

• I podcast di Diritto.it -Il DPO
• I chiarimenti del Garante privacy sull’informativa, la nomina del DPO e la tenuta del registro dei trattamenti in materia sanitaria
• Le attività fondamentali del DPO

4. La libertà di espressione dei DPO interni alle Pubbliche Amministrazioni

Si è detto che il DPO “interno” ad una Pubblica Amministrazione, è auspicabilmente, un dirigente ovvero un funzionario di alta professionalità, che svolge le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Orbene, ci si chiede:

• se una persona con questo particolare profilo professionale possa manifestare e condividere pubblicamente la propria conoscenza specialistica della normativa e delle prassi in materia di Data Protection, attraverso la partecipazione a webinar, meeting o pubblicando post sui social e articoli su siti web o riviste;
• e ancora, in particolare se, l’esercizio di dette attività extra-istituzionali non potrebbe, in qualche modo, intaccare il suo ruolo di dipendente pubblico, che, indubitabilmente ha sempre il dovere di adempiere le sue funzioni con disciplina ed onore nonchè con diligenza, obbedienza e fedeltà.

La risposta a queste domande è davvero semplice se si considera che l’art. 10 della CEDU ed il corrispondente art. 11 della Carta di Nizza fissano il diritto fondamentale alla libertà di espressione prevedendo che ogni individuo (quindi anche il DPO) ha diritto alla libertà di espressione.

Tale diritto include la libertà d’opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche.

Ovviamente l’esercizio di queste libertà, poiché comporta doveri e responsabilità, può essere sottoposto alle formalità, condizioni, restrizioni o sanzioni che sono previste dalla legge e che costituiscono misure necessarie, in una società democratica, alla sicurezza nazionale, all’integrità territoriale o alla pubblica sicurezza, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, alla protezione della reputazione o dei diritti altrui.

Peraltro questo diritto fondamentale è riconosciuto e garantito anche dall’art.21 della nostra Carta Costituzionale che sancisce il diritto di tutti a manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione.

5. Le attività extra-istituzionali che i DPO “interni” agli Enti Pubblici possono sempre liberamente svolgere

Nell’Ordinamento Nazionale esistono fonti primarie che, a garanzia della libertà di espressione di tutti i dipendenti pubblici, prevedono il libero svolgimento di alcune specifiche attività.

L’art. 53, comma 6 del D.Lgs.165/2001, infatti, abilita tutti i dipendenti pubblici a svolgere liberamente le seguenti funzioni:

1. la collaborazione a giornali, riviste, enciclopedie e simili;
2. l’utilizzazione economica da parte dell’autore o inventore di opere dell’ingegno e di invenzioni industriali;
3. la partecipazione a convegni e seminari;
4. gli incarichi per i quali è corrisposto solo il rimborso delle spese documentate;
5. gli incarichi per lo svolgimento dei quali il dipendente pubblico è posto in posizione di aspettativa, di comando o di fuori ruolo;
6. gli incarichi conferiti dalle organizzazioni sindacali a dipendenti presso le stesse distaccati o in aspettativa non retribuita;
7. l’attività di formazione diretta ai dipendenti della pubblica amministrazione nonché di docenza e di ricerca scientifica.

Per sciogliere ogni possibile dubbio circa la legittimazione dei dipendenti pubblici a svolgere liberamente le citate attività, basterà verificare che una chiara area di “liberalizzazione” è posta dal Legislatore anche a favore di una particolare categoria di pubblici dipendenti: i militari, per i quali il dovere fissato dalla Carta Costituzionale di svolgere le proprie funzioni con disciplina ed onore ha un valore davvero pregnante.

Infatti l’art. 895 del D.Lgs. 66/2010 (Codice dell’Ordinamento Militare) rubricato “Attività extraprofessionali sempre consentite” stabilisce testualmente che sono sempre consentite, ai militari, le attività, che diano o meno luogo a compensi, connesse con:

1. la collaborazione a giornali, riviste, enciclopedie e simili;
2. l’utilizzazione economica da parte dell’autore o inventore di opere dell’ingegno e di invenzioni industriali;
3. la partecipazione a convegni e seminari;
4. le prestazioni nell’ambito delle società e associazioni sportive dilettantistiche, ai sensi dell’articolo 90, comma 23, della legge 27 dicembre 2002, n. 289;
5. gli incarichi per i quali è corrisposto solo il rimborso delle spese documentate;
6. la formazione diretta ai dipendenti della pubblica amministrazione.

Ovviamente le predette attività devono comunque essere svolte al di fuori dell’orario di servizio e non condizionare l’adempimento dei doveri connessi con lo stato di militare.

6. Il GDPR protegge anche i diritti fondamentali dei DPO

Dopo aver chiarito quali attività extraprofessionali sono sempre consentite ai dipendenti pubblici, è opportuno focalizzare l’attenzione sull’art. 1, paragrafo 2 del GDPR ove è stabilito che lo stesso GDPR protegge i diritti e le libertà fondamentali delle persone fisiche e quindi anche la libertà di espressione.

Orbene, il DPO “interno” all’Ente pubblico, avendo tra i suoi compiti, l’obbligo di sorvegliare l’osservanza del GDPR, non dovrebbe temere di partecipare a convegni o seminari né di pubblicare articoli riguardanti la Data Protection ma, anzi, dovrebbe rivendicarne il diritto fondamentale, avendo la consapevolezza che sarà così certamente valorizzato e non intaccato il suo ruolo di pubblico dipendente e la sua sfera deontologica.

Quindi, Il DPO “interno” ad un Ente pubblico se vuol condividere pubblicamente le sue idee, le conoscenze e competenze relative ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti di dati personali, può farlo con assoluta serenità e non solo perché così esercita i suoi diritti fondamentali (libertà di espressione e diritto fondamentale all’identità personale) ma anche perché, come ha autorevolmente affermato, il Prof. Zagrebelsky “le idee racchiuse in sé stesse s’inaridiscono e si spengono. Solo se circolano e si mescolano, vivono, fanno vivere, si alimentano le une con le altre e contribuiscono alla vita comune, cioè alla cultura.”

Volume consigliato

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.

Stefano Comellini | 2018 Maggioli Editore

19.00 €  18.05 €

Scopri di più