Ordini professionali e privacy: il Consigliere non può essere nominato DPO
Con provvedimento del 22 febbraio u.s. il Garante Privacy, a seguito di istruttoria conseguente ad un reclamo, oltre a sanzionare un ordine delle professioni sanitarie per violazione della normativa di privacy connessa ad un trattamento illecito, ha fornito un’importante e chiara indicazione a proposito dell’obbligo degli ordini e collegi professionali di nominare un proprio RPD/DPO e di pubblicarne i dati di contatto sul proprio sito istituzionale e ha, inoltre, indicato che la figura del RTD/DPO va individuata in maniera tale da prevenire rischi di conflitto di interesse e consentire lo svolgimento del proprio incarico in maniera appropriata.
In via preliminare, il Garante ha stabilito in maniera netta che gli Ordini sono tenuti alla nomina del DPO in quanto la normativa in materia di protezione dei dati prevede che la designazione dello stesso sia sempre dovuta da parte di un’“autorità pubblica” o di un “organismo pubblico” (art. 37, par. 1, lett. a), del Regolamento UE 2016/679).
A tal riguardo, il Garante non ha recepito quanto affermato dall’Ordine in sede di memorie difensive secondo cui ““si precisa poi che l’OMV non è tenuto a fornirsi di RPD, non ricorrendo alcuna delle ipotesi di cui all’art. 37 del [Regolamento]. E invero la definizione di “autorità pubblica o organismo pubblico” di cui alla lettera a) dell’art. 37 non può certamente riferirsi agli Ordini Professionali che, come ormai riconosciuto dalla giurisprudenza possono essere definiti come “enti pubblici non economici di natura associativa”” e ha concluso per la nomina obbligatoria del RPD/DPO negli ordini con conseguente pubblicazione dei dati di contatto sul sito istituzionale, e non su social o canali diversi. L’indicazione del Garante è importante perché mette un definitivo sigillo alla questione interpretativa sulla qualificazione degli ordini come organismi di diritto pubblico, qualificazione peraltro ben riscontrabile posto che gli Ordini professionali posseggono tutti i requisiti richiesti dalla giurisprudenza per essere inquadrati come tali.
Rispetto invece al soggetto cui affidare l’incarico di RPD/DPO, il Garante rammenta che il RPD/DPO può svolgere altre funzioni a condizione che non diano adito a conflitti di interessi con conseguente impossibilità di assunzione di un ruolo comportante la definizione delle finalità o modalità del trattamento di dati personali all’interno dell’organizzazione. Rispetto a tale indicazione il Garante, anche facendo leva sulle Linee guida sui responsabili della protezione dei dati (adottate dal Gruppo di lavoro articolo 29 il 13 dicembre 2016, nella versione emendata il 5 aprile 2017) ha ritenuto non conforme il conferimento di incarico di RPD/DPO ad un consigliere dell’Ordine; secondo il Garante infatti “(…) un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento”. Posto che il Consigliere è parte dell’organo di indirizzo dell’ente ovvero del Consiglio direttivo, al consigliere è demandata la definizione delle finalità o modalità del trattamento dei dati personali, circostanza questa che genera conflittualità nello svolgimento dell’incarico di RPD/DPO.
In considerazione della ricostruzione sopra esposta, il Garante, nel merito, ha sanzionato l’omessa pubblicazione e la comunicazione tardiva all’Autorità dei dati di contatto del RPD, nonché la designazione quale RPD di un soggetto in situazione di conflitto d’interesse che altresì ha preso parte, in quanto membro del Consiglio Direttivo dell’Ordine, alla riunione che ha disposto la sua designazione.
La sanzione conseguente al rilievo, ai sensi dell’art. 83, par. 3 del Regolamento è stata attenuata dal ridotto dimensionamento dell’Ordine (che annovera un esiguo numero di iscritti), dal contesto caratterizzato da notevoli problematiche e incertezze connesse al periodo emergenziale dovuto alla diffusione del virus Covid-19 e dal buon livello di cooperazione con l’Autorità nel corso dell’istruttoria e l’insussistenza di precedenti violazioni pertinenti commesse dall’Ordine.