Domanda
Nel nostro comune (sopra 15.000 abitanti) è stato nominato Responsabile della Prevenzione della Corruzione, il segretario comunale, che è anche Responsabile della Trasparenza. Dopo il nuovo Regolamento Europeo sulla privacy, abbiamo nominato anche il Responsabile per la Protezione dei Dati che è un dipendente dell’ente. Che rapporto ci deve essere tra le due figure? È possibile nominare RPD il RPCT?
Risposta
Prima di entrare nel merito specifico del quesito è bene fornire qualche indicazione di contesto.
Quello appena trascorso, si potrebbe definire come l’anno della privacy, dal momento che hanno trovato attuazione le seguenti disposizioni legislative:
- Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)” pienamente operativo dal 25 maggio 2018;
- Decreto legislativo 18 maggio 2018, n. 51, in vigore dal 8 giugno 2018, recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, (trattamento dei dati giudiziari);
- Decreto legislativo 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Per ciò che riguarda il trattamento dei dati personali da parte di soggetti pubblici, ai fini della trasparenza, così come disciplinata dal d.lgs. 33/2013, è necessario sottolineare che l’art. 2-ter, del d.lgs. 196/2003 – aggiunto dal d.lgs. 101/2018 – dispone che la base giuridica per il trattamento dei dati, effettuato per l’esecuzione di un compito di interesse pubblico “è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.
Il regime normativo del trattamento dei dati delle persone fisiche, da parte dei soggetti pubblici, pertanto, è rimasto sostanzialmente inalterato, venendo ribadito il principio che il trattamento dei dati risulta consentito unicamente se ammesso da una norma di legge o di regolamento, dove previsto da una legge.
Per i comuni, quindi, resta acclarato che, prima di pubblicare nel proprio sito web (Albo pretorio online e/o Amministrazione trasparente) dati e documenti contenenti dati personali (sia in forma integrale o in estratto, compresi gli allegati), occorre verificare che la disciplina in materia di trasparenza contenuta nel d.lgs. n. 33/2013 o in altre normative, anche di settore, preveda un espresso obbligo di pubblicazione.
A completamento della presente premessa, è bene ricordare, tuttavia, che l’attività di pubblicazione dei dati sui siti web per finalità di trasparenza – anche se effettuata in presenza di idoneo presupposto normativo – deve sempre avvenire nel rispetto di tutti i principi applicabili al trattamento dei dati personali[1], quali quelli di liceità, correttezza e trasparenza; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza tenendo anche conto del principio di “responsabilizzazione” del titolare del trattamento.
In particolare, assumono rilievo i principi di adeguatezza, pertinenza e limitazione a quanto necessario, rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
Per ciò che attiene ai rapporti tra Responsabile della Trasparenza e Responsabile della Protezione dei Dati, alcuni spunti di sicuro interesse sono rinvenibili nella delibera ANAC n. 1074 del 21/11/2018 (pubblicata sulla GU n. 296 del 21/12/2018), al Paragrafo 7, rubricato “Trasparenza e nuova disciplina della tutela dei dati personali (Reg. UE 2016/679)”.
In sintesi, nel documento citato che contiene “Approvazione definitiva dell’Aggiornamento 2018 al Piano Nazionale Anticorruzione”, l’ANAC sostiene che:
a) se si tratta di due soggetti interni (si ricorda che il RPD potrebbe anche essere soggetto esterno all’ente), è bene le due figure non siano coincidenti nella stessa persona (il Segretario comunale, nei comuni), dal momento che la sovrapposizione dei due ruoli potrebbe determinare una limitazione allo svolgimento delle due attività, tenuto conto dei numerosi compiti e responsabilità che le norme attribuiscono al RPCT e al RPD;
b) Eventuali eccezioni possono essere ammesse solo in enti di piccoli dimensioni (comuni sotto 5.000 abitanti, per esempio) qualora la carenza di personale renda, da un punto di vista organizzativo, non possibile tenere distinte le due funzioni. In tali casi, le amministrazioni, con motivato e specifico provvedimento (del Sindaco), potranno attribuire allo stesso soggetto il ruolo di RPCT e RPD;
c) Il RPD, per le questioni di carattere generale riguardanti il trattamento e la protezione dei dati personali, può certamente rappresentare una figura di riferimento anche per il RPCT, anche se non potrà mai sostituirsi ad esso nell’esercizio delle sue specifiche prerogate, stabilite dalle legge 190/2012 e dalle successive disposizioni. Si pensi, al riguardo, alla stesura della sezione Trasparenza del Piano Anticorruzione o alla definizione delle istanze di riesame, nell’ambito dell’accesso civico generalizzato (cd. FOIA), qualora la decisione del servizio detentore dell’atto o del documento, riguardi profili attinenti alla protezione dei dati. In tali casi, infatti, per obbligo di legge, il RPCT deve richiedere un parere al Garante Privacy italiano ed è tenuto ad attenersi a quanto da esso stabilito, a prescindere da una eventuale e preventiva consultazione che l’ufficio, in prima istanza, possa aver intrattenuto con il RPD.
[1] Vedi art. 5, Regolamento UE 2016/679;