Con l’Ordinanza ingiunzione dello scorso 12 maggio 2022 (Docweb n. 9781242), il garante Privacy ha sanzionato il Comune di Villabate, a seguito del reclamo di un ex dipendente, il quale aveva lamentato che il Comune avesse comunicato a terzi (ed in particolare all’Ente nuovo datore di lavoro a seguito di trasferimento) l’”esistenza di presunti pignoramenti”, nonché l’”esistenza di un residuo di presunto debito […] scaduto e non trasmissibile fra le due amministrazioni”.
Il reclamante, inoltre, aveva segnalato che il Comune non avesse provveduto a designare un responsabile della protezione dei dati (RPD o DPO) e a renderne pubblici i dati di contatto, come richiesto dall’art. 37, parr. 1, lett. a), e 7 del GDPR.
Di seguito, si prescinderà dalla vicenda lavoristica, facendo esclusivo riferimento alle problematiche legate alla nomina del DPO da parte dell’Amministrazione Comunale.
Nel corso dell’istruttoria, il Comune aveva chiarito di aver inizialmente nominato il DPO in via temporanea, nella persona della “la [responsabile del settore Affari Generali del Comune], cat. D, con determinazione sindacale n. XX è stata individuata provvisoriamente [quale RPD] in quanto […] dipendente titolare di posizione organizzativa più anziana e pertanto, “tenuto conto delle limitate risorse presenti in dotazione organica […] e nelle more di affidare il servizio a soggetto esterno”’, [è stata ritenuta] per esperienza e professionalità idonea a ricoprire l’incarico provvisorio”.
Successivamente, il Comunque aveva affidato l’incarico di DPO ad una ditta esterna.
I requisiti di indipendenza del DPO non possono ritenersi sussistenti qualora tale carica sia ricoperta da un soggetto apicale dell’Amministrazione, in grado di incidere sulla definizione delle finalità e delle modalità del trattamento dei dati.
Come noto, le Pubbliche Amministrazioni hanno l’obbligo di nominare il DPO – RPD ai sensi dell’art. 37, par. 1, lett. a) del GDPR, il quale dispone che: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un
responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali“.
Nel caso di specie, il Comune aveva proceduto alla “designazione provvisoria del RPD nella persona dell’allora responsabile del settore Affari Generali del Comune… nelle more di individuare idonea figura esterna, […] in quanto la mancata approvazione del Bilancio di Previsione e l’assenza di risorse finanziarie poteva essere momentaneamente sopperita con l’individuazione di una figura interna“.
Il Garante ha altresì rilevato come l’art. 38, par. 6, del GDPR preveda che il DPO “[possa] svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Le “Linee guida sui responsabili della protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 13 dicembre 2016 (come emendate e adottate in data 5 aprile 2017) precisano che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento […], un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento […]” (par. 3.5, p. 21).
Pertanto, il Garante aveva da tempo chiarito nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, del 15 dicembre 2017, doc. web n. 7322110, che “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico”.
Il primo DPO nominato dal Comune rivestiva il ruolo di “Responsabile dell’Area Affari Generali.
Si trattava, dunque, di una posizione apicale nell’organizzazione del Comune, che implicava necessariamente l’assunzione di decisioni che avrebbero avuto un impatto anche in materia di protezione dei dati personali.
Secondo il Garante, “oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico” (cfr. FAQ n. 7).
Pertanto, può sussistere “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, cit.; cfr. provv. 16 settembre 2021, n. 318, doc. web n. 9718134).
Ne consegue che “la designazione del RPD da parte del Comune, nella persona dell’allora responsabile del settore Affari Generali, è stata effettuata in violazione dell’art. 38, par. 6, del Regolamento“.
Ulteriori profili di violazione del GDPR in relazione alla figura del DPO accertati dal Garante nel caso di specie sono stati la tardiva comunicazione dei dati di contatto del DPO nei confronti del Garante ed il loro mancato aggiornamento a seguito della nomina della ditta esterna.
inoltre, il Comunque non aveva nemmeno provveduto a pubblicare i dati di contatto del DPO con modalità tali da consentire agli interessati di poterlo contattare in modo facile e diretto.
Riguardo a quest’ultimo aspetto, il Garante ha osservato che “l’obbligo previsto dall’art. 37, par. 7, del Regolamento mira a “garantire che […] gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto” (“Linee guida sui responsabili della protezione dei dati”, cit.). Non rileva, quindi, che, come dichiarato dal Comune, lo stesso avesse, comunque, provveduto a pubblicare il provvedimento di designazione del RPD sul proprio sito web istituzionale. La mera pubblicazione dell’atto di designazione del RPD, specialmente se effettuata indistintamente assieme a tutti gli altri atti e provvedimenti amministrativi adottati dal Comune e pubblicati per finalità di trasparenza dell’azione amministrativa o di pubblicità integrativa dell’efficacia, non può, infatti, ritenersi idonea a soddisfare l’obbligo di pubblicità previsto dal Regolamento, poiché gli interessati non sono messi in condizione di reperire facilmente e direttamente i dati di contatto del RPD. Peraltro, né la Determinazione n. XX dell’XX né la Determinazione n. XX riportavano, in ogni caso, un indirizzo di posta elettronica del RPD utilizzabile dagli interessati per contattare lo stesso“.
In definitiva, secondo il Garante, il Comune “disponendo di un proprio sito web istituzionale, avrebbe, invece, dovuto effettuare la pubblicazione dei dati di contatto del RPD sullo stesso, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage (cfr. le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, cit., ove si afferma che “per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente”)“.
Avv. Emanue Nati
