Il recente provvedimento GPDP n° 10079346 riporta un passaggio particolarmente significativo che solleva una questione cruciale: il reale riconoscimento del ruolo del Responsabile della Protezione dei Dati (RPD) da parte degli enti pubblici. Il Garante evidenzia come la prassi di instaurare contatti saltuari tra l’ente e il RPD rischi di vanificare il senso stesso della sua presenza, compromettendo (noi aggiungeremmo non solo) l’approccio di privacy by design e by default promosso dal GDPR.
Si tratta di un doppio fallimento, in quanto:
- spesso gli enti pubblici tendono a considerare la nomina del RPD come un mero adempimento formale, senza valorizzarne realmente le competenze e proporre compiti adeguati; spesso abbiamo riscontrato come il DPO sia relegato alla mera funzione di ufficio privacy; questo atteggiamento non solo priva l’ente di un valido supporto nella conformità normativa, ma espone l’organizzazione a rischi concreti di inadempimento regolamentare, con potenziali conseguenze sanzionatorie ai sensi degli articoli 82 e 83 del GDPR;
- dall’altro lato, spesso i vari RPD pubblici sono accusati di non proporre in modo proattivo le attività necessarie per garantire la conformità normativa; dobbiamo spezzare una lancia a favore di questi RPD, che spesso non hanno le necessarie risorse per operare. non sono coivolti adeguatamente o sono purtroppo consapevoli che l’ente non potrà mai dare seguito alle indicazioni proposte; questo porta a una marginalizzazione del loro ruolo, riducendolo a una figura simbolica senza il valore aggiunto che il Regolamento gli assegna e gli effetti di miglioramento attesi.
La mancata valorizzazione del RPD ha ripercussioni dirette sull’accountability degli enti. Il GDPR non ha inteso proporre la protezione dei dati come una semplice formalità, bensì come un insieme di pratiche integrate nei processi organizzativi e decisionali.
La nomina del RPD, se relegata a un ruolo di facciata, rappresenta una perdita strategica per l’ente, che rinuncia a una figura cruciale per:
- Identificare e mitigare i rischi legati al trattamento dei dati personali;
- Promuovere la formazione e la consapevolezza interna;
- Fornire supporto nella gestione dei data breach e nelle interazioni con il Garante.
Il provvedimento del Garante propone una forte riflessione su come le parti coinvolte possano migliorare l’interazione:
- per gli enti pubblici: è necessario riconoscere il RPD come un alleato strategico, coinvolgendolo attivamente nelle decisioni e assicurandogli le risorse necessarie per svolgere il proprio ruolo; noi aggiungeremo anche che un DPO che opera per un ente pubblico dovrebbe avere le migliori competenze possibili e conoscere approfonditamente l’ente, per il quale funge da punto di contatto nei confronti della Autorità e degli interessati;
- per i RPD: è fondamentale adottare un approccio proattivo, proponendo iniziative e strategie che dimostrino concretamente il valore aggiunto della loro funzione, e non una mera presenza dietro la casella [email protected].
In merito alle competenze del DPO, purtroppo rileviamo come nel MEPA siano posti ruoli da DPO con corrispettivi anche inferiori a 100 euro al mese, e che poi tali ruoli siano rivestiti da professionisti che risiedono a migliaia di km. dalla sede del Titolare del Trattamento.
Qualcuno crede che sia possibile per un RPD operare con un compenso annuale di 1000 euro, che non ricopre neanche i costi per una sola visita nel periodo?