Il Comitato europeo per la protezione dei dati (EDPB) ha avviato un’azione coordinata per verificare l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023), focalizzandosi sulla designazione e posizione dei Responsabili della protezione dei dati (“RPD”),
I RPD svolgono, infatti, un ruolo essenziale nel contribuire al rispetto della normativa di settore e nel promuovere una tutela efficace dei diritti degli interessati.
Nel corso dell’anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo, parteciperanno al CEF 2023 e, per valutare l’operato dei RPD, potranno anche svolgere accertamenti formali.
A tale riguardo, rileva quanto recentemente enunciato dalla Corte di Giustizia UE (n. 453 del 2023) in merito ai requisiti per poter rivestire il ruolo di RPD e, in particolare, in merito al requisito d’indipendenza, secondo il quale il RPD può svolgere altri compiti e funzioni purché non diano adito a un conflitto d’interessi.
La Corte ponendosi in linea con quanto già dichiarato dai Garanti Europei, tra cui l’Autorità Garante italiana (Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, allegato al provvedimento del 29 aprile 2021 n. 186) e l’Autorità Garante belga (Décision 18/2020 du 28 avril 2020), ha ribadito che può configurarsi un conflitto d’interessi qualora il RPD sia incaricato di altri compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento (o il responsabile del trattamento). Secondo la Corte tale circostanza deve essere stabilita dal giudice nazionale caso per caso, sulla base di una valutazione complessiva degli elementi pertinenti, in particolare della struttura organizzativa del titolare del trattamento (o del responsabile del trattamento) e alla luce dell’insieme della normativa applicabile, ivi comprese eventuali politiche interne di questi ultimi.
Pertanto, in considerazione anche dell’azione avviata dal Comitato europeo e alla luce della recente pronuncia della Corte, gli enti che hanno provveduto alla nomina di un RPD dovranno svolgere un’attenta analisi per verificare che la figura individuata come RPD non rivesta all’interno dell’organizzazione dell’ente, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali (ad esempio perché le sono attribuiti poteri decisionali in merito al trattamento di dati personali) e per verificare che la posizione del RPD sia in linea con quanto disposto dal Regolamento UE 679/2016.
