Linee guida ANAC anticorruzione: verso una “data governance” integrata


E’ stato pubblicato sul sito dell’ANAC, Ente Nazionale Anticorruzione, l’Aggiornamento 2018 al Piano Nazionale Anticorruzione.

Fra i temi presi in esame (Quadro generale, Codici di comportamento, Pantouflage, Rotazione del personale e Semplificazioni per i piccoli comuni) trova spazio un articolo dedicato alla relazione fra la normativa anticorruzione e il Regolamento Europeo 679/2016 per la protezione dei dati personali.

In particolare, viene analizzata la relazione fra il RPCT (Responsabile della prevenzione della corruzione e trasparenza) e il DPO (o RDP, Data Protection Officer – Responsabile della Protezione dei Dati).

Il Responsabile della prevenzione della corruzione e trasparenza (RPCT)

  • È scelto fra personale interno alle amministrazioni o enti;
  • Propone all’organo di indirizzo politico l’approvazione e le modifiche del Piano triennale di Prevenzione della Corruzione verificandone l’efficace attuazione ed idoneità;
  • Definisce le procedure appropriate per selezionare e formare i dipendenti destinati ad operare in settori di attività particolarmente esposti alla corruzione;
  • Verifica l’effettiva rotazione degli incarichi negli uffici preposti allo svolgimento delle attività per le quali è più elevato il rischio che siano commessi reati di corruzione;
  • Pubblica nel sito web dell’amministrazione una relazione recante i risultati dell’attività svolta e trasmetterla all’organo di indirizzo;
  • Riferisce all’organo di indirizzo politico sull’attività svolta;
  • Cura che nell’amministrazione siano rispettate le disposizioni del d.lgs. 39/2013 sulla inconferibilità e incompatibilità degli incarichi.

Il Responsabile per la protezione dei dati (DPO o RPD)

  • Può essere individuato in una professionalità interna all’ente o assolvere ai suoi compiti in base ad un contratto di servizi stipulato con persona fisica o giuridica esterna all’ente;
  • Informa e fornisce consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • Sorveglia l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • Fornisce, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • Coopera con l’autorità di controllo;
  • Funge da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettua, se del caso, consultazioni relativamente a qualunque altra questione.

Le due cariche possono coesistere in un unico soggetto?

In linea generale NO.

Secondo il PNA 2018 «Fermo restando, quindi, che il RPCT è sempre un soggetto interno, qualora il RPD (DPO) sia individuato anch’esso fra soggetti interni, l’Autorità ritiene che, per quanto possibile, tale figura non debba coincidere con il RPCT»

Inoltre, «La sovrapposizione dei due ruoli può rischiare di limitare l’effettività dello svolgimento delle attività riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e responsabilità che la normativa attribuisce sia al RPD (DPO) che al RPCT»

E’ possibile che le due figure coincidano in un unico soggetto solo in enti di piccoli dimensioni qualora la carenza di personale renda organizzativamente non possibile tenere distinte le due funzioni. In tali casi, le amministrazioni e gli enti, con motivata e specifica determinazione, possono attribuire allo stesso soggetto il ruolo di RPCT e DPO.

La collaborazione fra DPO e RPCT

Per le questioni di carattere generale riguardanti la protezione dei dati personali, il DPO costituisce una figura di riferimento anche per il RPCT, anche se naturalmente non può sostituirsi ad esso nell’esercizio delle funzioni.

Nel documento in esame, viene riportato l’esempio dell’accesso civico generalizzato: benché questo tipo di attività comporta avviamento un trattamento di dati personali, la decisione sulle istanze spetta al RPCT con richiesta di parere al Garante per la protezione dei dati personali ai sensi dell’art. 5, co. 7, del d.lgs. 33/2013. In questi casi il RPCT si può ovviamente avvalere, se ritenuto necessario, di un supporto del DPO nell’ambito di un rapporto di collaborazione interna fra gli uffici ma limitatamente a profili di carattere generale, tenuto conto che proprio la legge attribuisce al RPCT il potere di richiedere un parere al Garante per la protezione dei dati personali.

Trasparenza e tutela della privacy

Il tema della relazione fra protezione dei dati e obbligo di trasparenza trova spazio anche nel PNA.

Occorre evidenziare che l’art. 2-ter del d.lgs. 196/2003, introdotto dal d.lgs. 101/2018, in continuità con il previgente articolo 19 del Codice, dispone al comma 1 che la base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’art. 6, paragrafo 3, lett. b) del Regolamento (UE) 2016/679, «è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento». Inoltre il comma 3 del medesimo articolo stabilisce che «La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1».

Occorre quindi che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali dati e documenti contenenti dati personali, verifichino che la disciplina in materia di trasparenza contenuta nel d.lgs. 33/2013 o in altre normative, anche di settore, preveda l’obbligo di pubblicazione.

Inoltre, l’attività di pubblicazione dei dati sui siti web per finalità di trasparenza, anche se effettuata in presenza di idoneo presupposto normativo, deve avvenire nel rispetto di tutti i principi applicabili al trattamento dei dati personali contenuti all’art. 5 del Regolamento (UE) 2016/679. In particolare assumono rilievo i principi di adeguatezza, pertinenza e limitazione a quanto necessario rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

L’Ente Nazionale Anticorruzione non indica, chiaramente, strategie operative per integrare e coordinare tutela della privacy e trasparenza. Tuttavia sembra si stia consolidando un quadro generale in cui normative come anticorruzione, protezione dei dati, antiriciclaggio ecc…, tutte basate su un approccio basato sul rischio, dovranno sempre di più essere affrontate con una gestione integrata foriera di risparmi, economici e di energie, e di omogeneità di trattazione.