i chiarimenti

Responsabile della protezione dei dati personali: cooperazione con il Garante e obblighi di segretezza o riservatezza

Tra i compiti “obbligatori” del responsabile della protezione dei dati personali figurano la cooperazione con l’autorità di controllo e la funzione di “punto di contatto” per l’autorità per questioni connesse al trattamento. Ecco come adempiere a questi obblighi nel rispetto del vincolo del segreto o della riservatezza

10 Set 2018
Marzio Vaglio

avvocato

shutterstock_766462015

Come sappiamo, il responsabile della protezione dei dati personali (RPD ovvero, secondo l’acronimo di lingua inglese, DPO) può essere un “dipendente” del titolare o del responsabile del trattamento che se ne avvalgono, ovvero “assolvere i suoi compiti in base a un contratto di servizi” (art. 37,6 GDPR).

I compiti del DPO

Nell’uno e nell’altro caso è l’art. 39 del GDPR che descrive, piuttosto dettagliatamente, i compiti che devono essere affidati dal designante al DPO: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: (…)”. La formulazione della norma non lascia dubbi sul fatto che tutti i compiti elencati dal 1° paragrafo, lettere da a) a e), devono essere affidati al DPO, mentre l’avverbio “almeno”, ci lascia comprendere che il titolare o il responsabile del trattamento ben potrebbero incaricare il DPO di ulteriori compiti. Naturalmente – ma non approfondiremo in questa sede il punto – dovrà trattarsi di compiti non incompatibili con quelli elencati dall’art. 39 e, in particolare, tali da non indurre situazioni di conflitto d’interessi (art.38,6) o compromettere l’indipendenza del DPO.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

I compiti “obbligatori”

Tra i compiti, per dir così, “obbligatori” nel senso che non possono mancare nell’incarico del DPO, leggiamo nell’art. 39 che il responsabile della protezione è incaricato di:

  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Per ben comprendere, in concreto, il significato e gli orizzonti di questi due “compiti”, è bene tener presente, con riguardo alla posizione del responsabile della protezione, l’art. 38,5 GDPR, in virtù del quale “Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.”.

Sul punto si esprimono anche, piuttosto sommariamente invero, le “Linee guida sui responsabili della protezione dei dati – WP243 Rev. 01” del Gruppo di lavoro articolo 29 per la protezione dei dati.

Il vincolo di riservatezza e il rapporto con l’Autorità di controllo

Questi compiti attengono al ruolo di “facilitatore” attribuito al DPO e già menzionato nell’introduzione alle presenti linee guida. Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58. Si è già rilevato che il DPO è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il DPO di contattare e chiedere lumi all’autorità di controllo. L’articolo 39, paragrafo 1, prevede che il DPO possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.

Ebbene, le poche righe che precedono – nella loro apparente semplicità – inducono ad una riflessione che merita un approfondimento che forse finora è mancato: sembrerebbe, infatti, da poter ricavare dalle parole impiegate dal WP29 che il DPO possa, se non debba, consegnare all’autorità documenti e informazioni che, dichiaratamente, potrebbero essere da essa utilizzate per ricavarne evidenze di inadempimenti sanzionabili.

Ciò sembra contrario all’essenza stessa dell’obbligo di segreto/riservatezza e, su un piano più generale, del canone generale “nemo tenetur se detegere”, che è principio di diritto comune agli ordinamenti degli Stati membri dell’Unione europea, ben conosciuto sia dalla Corte di giustizia dell’Unione europea, sia dalla Corte europea di Strasburgo.

Allora occorre chiedersi: che rapporto c’è tra l’obbligo del segreto o della riservatezza e il dovere di cooperazione con l’autorità di controllo? Fin dove si estende tale cooperazione? La facoltà, attribuita al DPO, di consultare l’autorità di controllo per qualunque questione connessa al trattamento, come deve esercitarsi in concreto per essere coerente con l’obbligo di segreto o riservatezza?

Il vincolo di riservatezza e il rapporto con il soggetto designante

Riassumiamo per sommi capi – visti i limiti di questo intervento – quelli che sembrano essere i punti più immediati da cui muovere, in modo da poter scorgere soluzioni operative quanto più aderenti alla lettera e allo spirito delle norme in esame.

  • In primo luogo, osserviamo che, mentre l’obbligo di segreto/riservatezza è imposto in via diretta dal Regolamento (art. 38,5), quale uno degli aspetti qualificanti della posizione giuridica di esso, il “cooperare con l’autorità di controllo” è un dovere impostogli – per via mediata – attraverso l’incarico ricevuto dal soggetto designante (titolare o responsabile del trattamento che sia).

Diciamo subito, incidentalmente, che trattandosi di un compito derivante dall’incarico (sia pure un compito obbligatorio, nel senso che “deve” essere contenuto nell’incarico giusta l’art. 39,1,d) tale compito non può che essere svolto nell’interesse del designante e non già dell’autorità di controllo. Ma su questo aspetto torneremo di qui a poco.

  • Il vincolo di segretezza/riservatezza del DPO riguarda “l’adempimento dei propri compiti: espressione tanto generale da ricomprendere qualsiasi attività svolta dal DPO a seguito della sua designazione, tenendo a mente che si tratta di attività svolte per conto o comunque nell’interesse del titolare o responsabile del trattamento.

A tal proposito, vale anche la pena di sottolineare la natura del rapporto tra designante e DPO, che non può che essere strettamente fiduciaria, sia qualora costui sia un dipendente del designante, sia nel caso che sia un esterno con rapporto regolato da apposito contratto di servizi.

  • La norma inoltre fa espresso riferimento a obblighi di segreto/riservatezza stabiliti dal diritto dell’Ue o degli Stati membri: come esempio di obblighi legali di segretezza/riservatezza, possiamo pensare al segreto professionale (DPO esterno) o al segreto d’ufficio (DPO interno), che certamente non sono le uniche ipotesi immaginabili ma soltanto quelle più frequenti.

Se pure il riferimento normativo esplicito riguarda un obbligo legale, può ritenersi equivalente un obbligo di segretezza/riservatezza di natura contrattuale? Anche senza dilungarci su un’analisi giuridica della nozione di “segreto”, sembra a chi scrive di poter affermare che esistono serie ragioni sistematiche per ritenere che anche un obbligo meramente contrattuale di segretezza/riservatezza (che potrebbe, per esempio, essere contenuto nel contratto di servizi o nell’atto di nomina del RPD) sarebbe un vincolo legittimo, sufficiente, effettivo ed efficace per il DPO nell’assolvimento dei propri compiti.

  • Ragionando infine a contrario, c’è infine da dire che il GDPR disegna con chiarezza il principio di accountability con specifico riguardo del titolare del trattamento (non del responsabile del trattamento e, ancor meno, del responsabile della protezione dei dati).

Dovrebbe ritenersi pacifico, dunque, che l’onere di documentare e “di essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento” (art. 24) incombono direttamente sul titolare e non certo sul responsabile della protezione da costui designato.

Il senso della cooperazione con l’Autorità di controllo

Si vedrà nel concreto, alla prova dell’applicazione vivente di queste disposizioni, quali saranno gli orientamenti in proposito della prassi, delle autorità di controllo, dei giudici e degli studiosi. Al momento, sembra di poter offrire – più come spunto, che come soluzione – alcune considerazioni conclusive che ci sembrano appropriate.

Cooperare” con l’autorità di controllo non può tradursi in un obbligo di denuncia a carico del DPO, né in una collaborazione che si spinga fino a concretizzarsi in una violazione del segreto o della riservatezza; ancor meno, si ritiene, se accanto al vincolo generale di segretezza, di cui all’art. 38,5 del regolamento, tale obbligo fosse rafforzato, per ipotesi, dalla simultanea sussistenza di un obbligo legale di segreto professionale.

La eventuale richiesta di documenti e informazioni al DPO da parte dell’autorità di controllo deve piuttosto essere intesa quale espressione della funzione di “punto di contatto” a costui attribuita dal GDPR: nel concreto, è lecito ritenere che una tale richiesta debba essere trasferita dal DPO a chi lo ha designato, cui competerà di decidere responsabilmente se e in che misura adempiere ad essa secondo gli obblighi stabiliti dal regolamento.

Al contrario, è difficile immaginare e sostenere sulla base del regolamento che incomba sul responsabile della protezione un obbligo personale e diretto di fornire all’autorità di controllo alcun documento appartenente al titolare o informazione relativa ai trattamenti da costui effettuati, a meno di non voler ritenere ammissibile che l’obbligo di riservatezza non sia operante, per qualche ragione che tuttavia non troviamo nel regolamento, nei confronti dell’autorità stessa nell’esercizio dei suoi poteri, in particolare, di indagine e correttivi.

La “cooperazione” con l’autorità, allora, si esprimerà soprattutto in tutte quelle attività necessarie ed opportune per stimolare la corretta risposta del titolare/responsabile all’autorità e assisterlo nell’adempimento, conformemente al ruolo del DPO quale “facilitatore” nell’osservanza del Regolamento.

Rientra certamente nella “cooperazione”, tra l’altro, il tempestivo e fattivo intervento del DPO a fronte di richieste o iniziative dell’autorità, da inoltrare al più presto al titolare o responsabile, nonché – immediatamente dopo – l’espressione del proprio parere in merito con qualsiasi indicazione utile per l’adempimento necessario.

La facoltà di consultazione

A proposito, infine, della “facoltà di consultazione” dell’autorità di controllo attribuita al DPO, essa non può che essere intesa a beneficio e supporto della funzione da esso esercitata e non quale strumento, anche solo indiretto, di «accusa» nei confronti del titolare o responsabile del trattamento.

La facoltà di consultazione del responsabile è espressamente disegnata sulla consultazione preventiva di cui all’art. 36, nei casi – evidentemente – ove questa costituisca un preciso obbligo per il titolare del trattamento; tuttavia la norma (art. 39,1,e) disegna un panorama più ampio, ove la consultazione “su qualunque altra questione” diventa un’opportunità facoltativa del titolare, per il tramite del responsabile della protezione, al fine di istituire, mantenere e documentare una corretta politica di protezione dei dati personali.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati