Competenza e autonomia del responsabile della protezione dei dati

A norma dell’art. 39, comma 1, Regolamento UE 2016/679 (GDPR), il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è incaricato almeno dei seguenti compiti:

«a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la forma- zione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione».

Tenuto conto dei compiti sopra elencati, il responsabile della protezione dei dati dovrà essere una persona:

  • dotata di competenze adeguate allo svolgimento dei compiti stessi,
  • dotata di sufficiente autonomia rispetto al titolare e al responsabile del trattamento dei dati.

Competenze del responsabile della protezione dei dati

A norma dell’art. 37, comma 5, GDPR «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39».

Quindi, il titolare e il responsabile del trattamento, nel designare il responsabile della protezione dei dati, dovranno sincerarsi che la persona prescelta abbia dette «qualità professionali».

Tali qualità vanno valutate in considerazione della «specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai […] alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo» (cit. Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Pertanto, il profilo professionale da ricercare «non può che qualificarsi come eminentemente giuridico» (cfr sempre Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Autonomia del responsabile della protezione dei dati

A norma dell’art. 37, comma 6, GDPR, il responsabile della protezione dei dati può essere

  • sia «un dipendente del titolare del trattamento o del responsabile del trattamento»,
  • sia un terzo che assolve «i suoi compiti in base a un contratto di servizi».

Tuttavia, in molti casi, tale alternativa sembra essere solo ipotetica, poiché i compiti che deve assolvere il responsabile della protezione dei dati presuppongono un’ampia autonomia di quest’ultimo, autonomia difficilmente conciliabile con il vincolo di subordinazione tipico del lavoro dipendente.

A riguardo, v’è anche da sottolineare che l’art. 38, comma 3, GDPR, precisa quanto segue:

  • «Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti»;
  • «Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti».