Negli enti locali occorre confrontare il complesso sistema di responsabilità e attività poste in capo al Titolare con l’ordinamento degli stessi, che, in estrema sintesi prevede l’attribuzione:

• al consiglio degli atti regolamentari, di pianificazione, indirizzo e controllo;
• all’organo esecutivo delle funzioni di governo residuali;
• al sindaco (o al presidente della provincia) delle funzioni legate a nomine e incarichi;
• al segretario generale, al direttore generale e ai dirigenti dei compiti di coordinamento e di gestione. 

L’intreccio tra ruolo/ attività del Titolare del trattamento e ordinamento degli Enti locali porta quindi inevitabilmente non ad individuare il titolare nel sindaco, ma ad un modello di “titolare diffuso”, esattamente come avviene più in generale per le altre funzioni degli enti. Occorre, cioè, che le mansioni del titolare vengano allocate all’organo che secondo l’ordinamento ha il titolo per poterle svolgere.

Inoltre per gli Enti pubblici, finalità e mezzi del trattamento sono determinati dalla legge nei loro profili generali: indubbiamente ad essere coinvolto sarà il consiglio. Ben più complesso è, invece, il profilo organizzativo poiché occorre definire le linee di comportamento concreto dell’ente in materia di trattamento dati, sotto diversi aspetti giuridici, informatici, e funzionali. Si tratta, ad esempio, di adottare la modulistica, di definire le modalità di esercizio dei diritti, di definire le norme tecniche di comportamento nell’uso degli apparati informatici, di definire le competenze dei singoli attori del sistema, di gestire il coordinamento tra tutela della riservatezza, diritto di accesso e trasparenza amministrativa. Per il loro evidente profilo organizzativo tutti questi aspetti rientrano nella competenza dell’organo esecutivo.  Parimenti va ricondotta all’organo esecutivo, l’attuazione del principio di responsabilizzazione (“Accountability”) assieme ai relativi principali strumenti, ossia il Registro dei trattamenti e la Valutazione d’impatto (P.I.A. – Privacy Impact Assessment). All’organo di vertice spettano invece le nomine, tra cui, quella del Responsabile della protezione dei dati (D.P.O.).

Infine, in questa logica di “titolare diffuso” non possono non rientrare i dirigenti, il direttore e il segretari, secondo le diverse competenze degli stessi. Si pensi, ad esempio, alle clausole contrattuali di individuazione dei Responsabili esterni del trattamento, ai compiti di direzione del personale assegnato, anche in relazione alla loro formazione oppure alla necessità, da parte del dirigente competente per i servizi informatici, di fornire istruzioni dettagliate in materia di sicurezza informatica.

In conclusione, il ruolo del titolare negli Enti locali ha una natura complessa e composita come complessa e composita risulta essere l’articolazione delle funzioni e delle competenze. Il principio di responsabilizzazione del GDPR (“Accountability”), reclama che questa complessità venga resa esplicita, disciplinata e documentata attraverso un atto di organizzazione puntuale, adottato dall’organo esecutivo, mediante il quale collegare compiti del titolare ai soggetti funzionalmente competenti.