Faro dei Garanti sui Data Protection Officer e sui diritti

Tutte le pubbliche amministrazioni (centrali e locali, loro consorzi e associazioni, università, aziende del Servizio sanitario nazionale) e gli altri soggetti obbligati, per rispettare le previsioni del Regolamento Ue 2016/679 (GDPR o Regolamento) devono, non solo designare il Responsabile della protezione dei dati (RPD) ma anche comunicarne i dati di contatto al Garante per la protezione dei dati personali (Garante o Autorità) attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.

L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di contatto fra il titolare (o responsabile) del trattamento e l’Autorità stessa al fine di facilitarne l’adempimento dei compiti.

Non solo: i dati di contatto del RPD devono essere pubblicati sul sito istituzionale dell’organizzazione e devono essere inseriti nell’informativa relativa al trattamento dei dati rilasciata ai soggetti interessati ai sensi degli articoli 13 e 14 del Regolamento.  La violazione di tali obblighi sono soggette all’applicazioni delle sanzioni più gravi, previste dall’art. 83 del GDPR[1].

Ascolta l’articolo in podcast

L’indagine del Garante italiano

Con l’adozione, lo scorso 11 gennaio 2024, di quattro provvedimenti sanzionatori nei confronti di altrettanti enti locali[2] che non avevano provveduto alla segnalazione, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del RPD. Ed è già stata avviata una nuova serie di controlli, indirizzati ad una platea ancora più ampia di Comuni, che non hanno comunicato all’Autorità tale informazione.

Occorre ricordare che sul sito del Garante è disponibile la procedura online per la comunicazione, variazione e revoca del nominativo e le relative istruzioni per la compilazione. Non sono previste altre modalità.

L’indagine del Comitato europeo per la protezione dei dati (EDPB)

Lo scorso 16 gennaio 2024 l’EDPB ha pubblicato i risultati della sua seconda azione coordinata di applicazione[3] sulla designazione e sulla posizione dei RPD. La relazione è il risultato di un’indagine coordinata a livello dell’UE ed elenca gli ostacoli attualmente incontrati dai responsabili della protezione dei dati e indica una serie di raccomandazioni per rafforzare ulteriormente il loro ruolo. Come accaduto per la prima indagine sull’uso di servizi cloud da parte del settore pubblico[4], l’analisi, avviata a febbraio 2023, è stata portata avanti da tutte le Autorità di protezione dei dati delle Spazio economico europeo coprendo un’ampia gamma di settori (sia pubblici che privati) attraverso questionari inviati ad un campione rappresentativo; sono state ricevute e analizzate oltre 17.000 risposte che ritroviamo in uno dei due allegati al Report.

Dai risultati emergono luci ed ombre: da un lato ancora si registrano casi di mancata designazione, risorse insufficienti anche per la formazione; mancata indipendenza, presenza di conflitti di interesse e rapporti non con le figure apicali; dall’altro molti dei DPO interrogati hanno dichiarato di possedere le competenze e le conoscenze necessarie per svolgere il proprio lavoro e ricevere regolarmente corsi di formazione; di avere compiti chiaramente definiti in linea con il GDPR e di non ricevere istruzioni su come esercitare le loro funzioni, di essere coinvolti nei procedimenti e di avere strumenti e mezzi adeguati.

Al fine di assicurare un’applicazione coerente del Regolamento e dare una risposta alle sfide individuate nel corso dell’indagine, l’EDPB elenca alcune raccomandazioni dirette alle organizzazioni dei titolari, ai responsabili della protezione dei dati e alle autorità di protezione dei dati volte a rafforzare l’indipendenza dei responsabili della protezione dei dati e a garantire che dispongano delle risorse necessarie per svolgere i loro compiti, in maniera coerente, in tutti gli Stati membri. Tra l’altro, la relazione incoraggia le Autorità di protezione dei dati a svolgere maggiori attività di sensibilizzazione, informazione e applicazione delle norme e invita le organizzazioni a garantire che i DPO abbiano sufficienti opportunità, tempo e risorse per aggiornare le loro conoscenze e conoscere gli ultimi sviluppi. I risultati raggiunti verranno monitorati nei prossimi mesi.

La nuova indagine 2024

Nel comunicato che annuncia la conclusione dell’indagine l’EDPB annuncia anche l’avvio di una nuova azione coordinata di applicazione mirata, questa volta, ad accertare le modalità di attuazione del diritto di accesso da parte dei Titolari.

Anche in questo nuovo percorso di analisi verranno definite, congiuntamente tra le Autorità nazionali, modalità (questionari, interviste, indagini), tempi e percorsi.

Il faro da parte dell’EDPB sul diritto di accesso[5], ossia sul diritto per gli interessati di essere messi a conoscenza, da parte del titolare del trattamento, del fatto che è in corso un trattamento dei propri dati personali, ne sottolinea la rilevanza: è il primo tra i diritti dei soggetti interessati al trattamento in quanto, esso stesso, è propedeutico e strumentale rispetto all’esercizio degli ulteriori diritti previsti dagli articoli 15-22 del Regolamento.

Il diritto di chiedere la rettifica o la cancellazione dei dati, di opporsi al trattamento o di ottenere la portabilità potranno essere esercitati solo nella misura in cui l’interessato abbia conoscenza delle informazioni relative all’effettivo trattamento dei propri dati personali da parte del titolare. Ovvero il diniego di tali informazioni.

Infatti, la finalità del diritto di accesso si identifica nel lasciare all’interessato il controllo sul trattamento dei propri dati personali, la possibilità di verificare la legittimità del trattamento ed eventualmente di modificare le informazioni attraverso richieste di integrazione, cancellazione od opposizione. Per tali motivi il diritto di accedere è riconosciuto a prescindere dall’esistenza di una lesione lamentata dall’interessato[6] (diversamente dal diritto di accesso agli atti amministrativi, non ha bisogno di motivazione) e senza che possano essere fatti valere limiti temporali.

Riassume alcuni dei principi fondanti del Regolamento: diritto alla trasparenza, potere di controllo e di intervento sui propri dati personali.
A distanza di quasi 6 anni dall’entrata in vigore del Regolamento le Autorità di diversi Stati membri continuano ad evidenziare un insufficiente adempimento dei diritti degli interessati da parte dei titolari e ad adottare provvedimenti sanzionatori a carico di diverse organizzazioni, pubbliche e private: sarà interessante un confronto sulle criticità e sui possibili rimedi.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Cfr. Gdpr, art. 83, par. 5, lett. b) diritti degli interessati a norma degli articoli da 12 a 22.

[2] Cfr. Provvedimenti GPDP n. 6 dell’11 gennaio 2024 Comune di Siracusa; GPDP n. 7 dell’11 gennaio 2024 Libero Consorzio comunale di Caltanissetta; GPDP n. 8 dell’11 gennaio 2024 Provincia di Catanzaro; GPDP n. 9 dell’11 gennaio 2024 Provincia di Sassari.

[3] Le azioni di applicazione coordinata tra gli Stati membri hanno l’obiettivo di rendere coerente tra gli Stati membri l’applicazione del GDPR e assicurare la cooperazione tra le autorità di protezione dei dati su temi ritenuto prioritari.

[4] Cfr. Appunti di privacy n. 10 – Cloud pubblico e privacy: le Autorità Ue chiedono più attenzione alla tutela dei dati personali.

[5] Articolo 8, par. 2, della Carta dei Diritti Fondamentali dell’Unione Europea. “Protezione dei dati di carattere personale” 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

[6]  Cfr. European Data Protection Supervisor, Guidelines on the Rights of Individuals with regard to the Processing of Personal Data.