Nel corso di un’istruttoria avviata su presentazione di un reclamo da parte di un interessato, l’Autorità ha constatato diverse irregolarità in relazione alla designazione del Responsabile della Protezione dei Dati Personali (RPD o DPO) tra le quali:
– designazione tardiva rispetto all’applicazione del RGPD;
– mancata comunicazione dei dati di contatto al Garante ed agli interessati;
– designazione di soggetto in conflitto di interessi
Proprio in relazione al conflitto di interessi, si segnala il seguente passaggio contenuto nell’ordinanza:
“Si osserva, altresì, che, alla data dei fatti oggetto di reclamo, il RPD rivestiva il ruolo di “Responsabile dell’Area Affari Generali [in quanto] dipendente titolare di Posizione Organizzativa”, ricoprendo quindi una posizione apicale nell’organizzazione del Comune, che implicava necessariamente l’assunzione di decisioni che avrebbero avuto un impatto anche in materia di protezione dei dati personali. D’altra parte, la comunicazione di dati personali oggetto di reclamo è stata effettuata con nota sottoscritta dalla stessa persona che ricopriva il ruolo di RPD, in qualità di “funzionario responsabile”, il quale, svolgendo, altresì, la funzione di RPD, si trovava in una condizione di conflitto d’interessi rispetto al ruolo apicale svolto nell’ambito dell’organizzazione del titolare.
Come, infatti, chiarito dal Garante nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, cit., “oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico” (FAQ n. 7; v. anche par. 3.5 delle “Linee guida sui responsabili della protezione dei dati”, cit.). Tali indicazioni sono state di recente ribadite dal Garante, affermando che sussiste “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, cit.; cfr. provv. 16 settembre 2021, n. 318, doc. web n. 9718134).
Pertanto, la designazione del RPD da parte del Comune, nella persona dell’allora responsabile del settore Affari Generali, è stata effettuata in violazione dell’art. 38, par. 6, del Regolamento.”
Di seguito il link all’Ordinanza ingiunzione nei confronti di Comune di Villabate – 12 maggio 2022 [Doc-web n. 9781242]: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9781242