martedì, 19 marzo 2024

Articoli

Data Protection Officer nella P.A.

16/10/2017

SOGGETTI PUBBLICI: AUTORITÀ PUBBLICA O ORGANISMO PUBBLICO (PUBLIC AUTHORITY OR BODY)  

In base all’articolo 37 del regolamento generale sulla protezione dei dati personali – Regolamento (UE) 2016/679 (RGPD o GDPR) (1) del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali -  se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico la nomina del RPD (DPO (2)) è obbligatoria.

La Direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, relativa al riutilizzo dell’informazione del settore pubblico definisce l’”ente pubblico” come, le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico, e l’"organismo di diritto pubblico", come qualsiasi organismo:

a) istituito per soddisfare specificatamente bisogni d'interesse generale aventi carattere non industriale o commerciale; e 

b) dotato di personalità giuridica; e

c) la cui attività è finanziata in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, oppure la cui gestione è soggetta al controllo di questi ultimi, oppure il cui organo d'amministrazione, di direzione o di vigilanza è costituito da membri più della metà dei quali è designata dallo Stato, da autorità regionali o locali o  da altri organismi di diritto pubblico.

Nel GDPR 679/2016, invece, non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Nel parere espresso dal gruppo dei garanti europei si ritiene che tale definizione debba essere conforme al diritto nazionale. 

Pertanto, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico. In questi casi lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non appartengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro: trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale. 

Si pensi, a titolo esemplificativo, alle società per azioni con capitale sociale interamente pubblico con un socio unico, come avviene per alcune aziende operanti nel settore del servizio idrico, dove il Comune funge da unico socio. In un caso del genere, la società controllata da un ente pubblico è azienda pubblica, se si considera il soggetto economico, privata, se si considera il soggetto giuridico.

In tutti questi casi – osserva il gruppo di lavoro “Articolo 29” -  la situazione in cui versano gli interessati è probabilmente molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico. Più in particolare, i trattamenti perseguono finalità simili e spesso il singolo ha, in modo analogo, un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali; pertanto, è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un RPD (3). 

In conclusione, nei casi sopradescritti il Gruppo di Lavoro “Articolo 29” raccomanda, in termini di buona prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un Data Protection Officer.  

Note:

(1) Regolamento Generale sulla Protezione dei Dati (RGPD) o in inglese General Data Protection Regulation (GDPR).

(2) Responsabile della Protezione dei dati (RPD) o in inglese Data Protection Officer (DPO).

(3) In these cases, data subjects may be in a very similar situation to when their data are processed by a public authority or body. In particular, data can be processed for similar purposes and individuals often have similarly little or no choice over whether and how their data will be processed and may thus require the additional protection that the designation of a DPO can bring. (WP 243, pag. 6).



Tutti gli articoli