HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
Autorità garante della concorrenza e del mercato, 2/1/2020 n. AS1636
Segnalazione AGCM AS1636 - SELEZIONI PER L'AFFIDAMENTO DEL SERVIZIO DI RESPONSABILE PROTEZIONE DATI

Materia: privacy / tutela dati personali

22 BOLLETTINO N. 1 DEL 7 GENNAIO 2020

 

ATTIVITA' DI SEGNALAZIONE E CONSULTIVA

AS1636 - SELEZIONI PER L'AFFIDAMENTO DEL SERVIZIO DI RESPONSABILE PROTEZIONE DATI

 

Roma, 2 gennaio 2020

 

Comune di Quarrata

Unione dei Comuni Circondario dell’Empolese Valdelsa

Unione Comunale del Chianti Fiorentino

Comune di Vaglia

 

L’Autorità della Concorrenza e del Mercato, a seguito della ricezione di una segnalazione su possibili criticità concorrenziali nelle procedure di affidamento del servizio di Responsabile Protezione Dati (di seguito, RPD), nella sua adunanza del 20 dicembre 2019, ha ritenuto di svolgere alcune osservazioni, ai sensi dell’art. 21 della legge n. 287/90, al fine di rimuovere gli ostacoli all’operatività dei soggetti attivi in questo settore.

In via preliminare, l’Autorità ha verificato che talvolta le pubbliche amministrazioni, nel selezionare un RPD esterno, richiedono l’iscrizione nell’albo professionale degli avvocati (si veda ad esempio i bandi dell’Unione di Comuni Circondario dell’Empolese Valdelsa e dell’Unione Comunale del Chianti Fiorentino) o la laurea in giurisprudenza (Comune di Quarrata e Comune di Vaglia).

Rispetto ai requisiti che il RPD deve possedere, è opportuno chiarire che la normativa in vigore non fa riferimento a specifici titoli di studio, né richiede iscrizioni agli albi professionali.

Si ricorda, infatti, che l’art. 37 del Regolamento (UE) 2016/679 (di seguito Regolamento o RGPD) stabilisce che anche le Amministrazioni Pubbliche, in quanto titolari del trattamento dei dati personali, provvedano a designare un RPD destinato ad assolvere funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Il comma 5 dell’art. 37 del Regolamento prevede che «il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39»

Le Linee Guida sui responsabili della protezione dati, elaborate dal Gruppo di lavoro ‘Articolo 29’ per la protezione dei dati1, sulla base dell’art. 37, comma 6, del Regolamento, consentono di designare un RPD esterno2.

Sul tema delle qualità professionali richieste al RPD, nelle citate Linee Guida si legge: «l’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa edelle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. Proficua anche la promozione di una formazione adeguata e continua rivolta ai RPD da parte delle Autorità di controllo. È utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili». Le Linee Guida prevedono, inoltre, che «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.

 Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:

- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati,compresa un’approfondita conoscenza del RGPD;

- familiarità con le operazioni di trattamento svolte;

- familiarità con tecnologie informatiche e misure di sicurezza dei dati;

- conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile;

- capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile».

Né il Regolamento né le linee guida sopra citate, quindi, richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP. Analogamente, non vi è traccia di simili requisiti al punto 2.5.2 relativo alle “Qualifiche, competenze e posizione del RPD” del Manuale, predisposto da cinque Autorità (Polonia, Spagna, Bulgaria, Croazia e Italia), destinato ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea, elaborato per il programma “T4DATA” con il contributo del Garante italiano per la protezione dei dati personali. Né, infine, il Garante per la protezione dei dati personali individua come necessari tali requisiti, così come emerge nelle FAQ pubblicate sul sito3.

Sul punto, atteso che le norme che disciplinano le funzioni e i requisiti del RPD non individuano un determinato titolo di studio ai fini dello svolgimento di tale incarico, l’Autorità invita le Pubbliche Amministrazioni che intendano richiedere un titolo di studio specifico a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto.

Infatti, con specifico riferimento al requisito dell’iscrizione all’albo professionale degli avvocati, esso appare discriminatorio e non giustificato. Tale requisito, invero, non è necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, nel caso di specie, del tutto sproporzionato e discriminatorio, perché idoneo a escludere in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo4.

In conclusione, sulla base di quanto precede, l’Autorità auspica che le amministrazioni in indirizzo valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di

evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate.

L’Autorità invita a comunicare, entro un termine di trenta giorni dalla ricezione della presente

segnalazione, le determinazioni assunte con riguardo alle criticità concorrenziali sopra evidenziate.

La presente segnalazione sarà pubblicata sul Bollettino di cui all’articolo 26 della legge n.287/90.

IL PRESIDENTE

Roberto Rustichelli

1 Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della Direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono previsti dall’articolo 30 della direttiva 95/46/CE e all’articolo 15 della Direttiva 2002/58/CE.

2 In particolare, è previsto che «il RPD può far parte del personale del titolare del trattamento o del responsabile del trattamento (RPD interno) ovvero “assolvere i suoi compiti in base a un contratto di servizi”. In quest’ultimo caso il RPD sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica. Se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti applicabili come fissati nel RGPD. Per favorire efficienza e correttezza e prevenire conflitti di interesse a carico dei componenti il team, le linee guida raccomandano di procedere a una chiara ripartizione dei compiti nel team del RPD esterno, attraverso il contratto di servizi, e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente».

3 Più nel dettaglio, nelle FAQ del Garante per la protezione dei dati personali sul Responsabile della Protezione dei dati (RPD) in ambito pubblico, si legge «come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento. Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall'art. 39 del RGPD». Nelle FAQ sul Responsabile della Protezione dei dati (RPD) in ambito privato l’Autorità è ancor più diretta nell’affermare che «il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento».

4 L’Autorità si è già espressa su questioni simili. Si veda, ad esempio, AS616 del 16 settembre 2009, Distorsioni della concorrenza nel mercato dei servizi di consulenza del lavoro e dei servizi informatici di elaborazione dati per la gestione del personale, in boll. 37/2009.

 

HomeSentenzeArticoliLegislazioneLinksRicercaScrivici