Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

DPO di un ente pubblico: qualifica e requisiti

Un unico DPO supportato da un ufficio o da diversi referenti sembra la soluzione migliore per le esigenze degli enti pubblici. Cosa prevede la normativa, le questioni legate all’incompatibilità e al conflitto d’interesse, il tema delle certificazioni

08 Nov 2018

Michele Iaselli

avvocato, docente di Logica e Informatica giuridica - Università di Napoli Federico II

Cloud storage security concept. Safety data management specialist think about security of cloud computing data storage represented by cloud icon with padlock.

Alla luce delle prime esperienze applicative del GDPR , si rafforza la convinzione che, specialmente nelle realtà organizzative più complesse, sia necessario strutturare un ufficio o comunque un gruppo di lavoro che svolga la funzione di DPO contraddistinto da diverse professionalità.

Cercherò nel seguito di motivare questa mia opinione, partendo dal presupposto che la questione non è affatto semplice, in quanto bisogna tener conto anche della ridotta disponibilità dei dipendenti a svolgere tale attività sicuramente complessa e poco remunerativa e che il Regolamento europeo non fornisce specifiche indicazioni in merito alla qualifica richiesta al dipendente pubblico per svolgere la funzione di DPO.

Il complesso dei compiti assegnati al DPO

È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”.

Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

La scelta di un DPO interno

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno, secondo il Garante sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Lo stesso dipendente dovrà naturalmente avere una specifica conoscenza della normativa in materia di protezione dei dati personali, dei sistemi informativi e di aspetti organizzativi-manageriali.

Inoltre alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più DPO.

Un solo DPO con più figure di supporto

Al riguardo, si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO, anche, se del caso, operando quali componenti del suo gruppo di lavoro.

Attualmente, difatti, risulta che molti Ministeri come anche le agenzie fiscali abbiano optato per l’adozione di un unico DPO a livello centrale sebbene supportato da uno specifico gruppo di lavoro. Tale soluzione, per la verità, è molto rischiosa in quanto a prescindere dalle disposizioni del GDPR, indubbiamente sorgerebbero, come evidenziato in precedenza, molti problemi di carattere organizzativo legati ad articolazioni territoriali molto estese ed all’individuazione di diversi titolari del trattamento.

Incompatibilità e conflitto di interesse

In merito poi al problema dell’incompatibilità o dei conflitti di interesse l’articolo 38, terzo paragrafo, del Regolamento prevede, inoltre, che il DPO “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”.

Le penalizzazioni possono assumere molte forme e avere natura diretta o indiretta. Per esempio, potrebbero consistere nella mancata o ritardata promozione, nel blocco delle progressioni di carriera, nella mancata concessione di incentivi rispetto ad altri dipendenti. Non è necessario che si arrivi all’effettiva applicazione di una penalizzazione, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attività da questi svolte.

Riesce difficile pensare al rispetto di tali disposizioni con riferimento ad un DPO che sarà il dipendente di un ente pubblico collocato sicuramente in una posizione di subordinazione gerarchica rispetto ad altri colleghi e che inevitabilmente potrà essere soggetto a pressioni o condizionamenti ai limiti della liceità

Viceversa, e conformemente alle normali regole di gestione applicabili a ogni altro dipendente o fornitore soggetto alla disciplina del rispettivo contratto nazionale ovvero alle norme di diritto penale e del lavoro, sarebbe legittimamente possibile interrompere il rapporto con il DPO per motivazioni diverse dallo svolgimento dei compiti che gli sono propri: per esempio, in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni deontologiche.

In base all’art. 38, paragrafo 6, del GDPR al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Ciò significa, in modo particolare, che un DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile.

A seconda delle attività, delle dimensioni e della struttura organizzativa del titolare o del responsabile, si possono indicare le seguenti buone prassi:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di DPO;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il DPO non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di DPO, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale DPO ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il DPO sia designato fra soggetti interni o esterni all’organizzazione.

Il DPO negli enti pubblici di grandi dimensioni

In linea di principio, come sostenuto dalla stessa Autorità Garante, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di DPO  al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti  che il GDPR attribuisce al DPO.

Il conflitto di interessi

Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al DPO, particolare attenzione andrebbe infine prestata nei casi di unico DPO tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di DPO esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio il DPO dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

Le certificazioni

In merito, invece, alla necessità di specifiche certificazioni da parte del DPO la recente sentenza n. 00287 datata 5 settembre 2018 del TAR del Friuli Venezia Giulia ha fornito utili chiarimenti precisando che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva non costituisce, come, del resto, eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR. Di conseguenza la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale di DPO il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.

Del resto già in precedenza con uno specifico comunicato del 18 luglio 2017 il Garante per la protezione dei dati personali, aveva ritenuto necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

Tale discorso vale anche per la recente norma UNI 11697 norma tecnica che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”.

Tale norma ha come punto di riferimento la legge 14 gennaio 2013, n. 4, che detta “Disposizioni in materia di professioni non organizzate”, al fine di definire i principi e criteri generali per la disciplina dell’esercizio autoregolamentato della singola attività professionale e pur non essendo obbligatoria si rivolge a tutte le parti interessate, ai vari livelli. La norma fornisce anche indicazioni per i processi di valutazione e di convalida delle conoscenze, abilità e competenze.

In altri termini queste certificazioni possono rappresentare un ottimo punto di riferimento per valutare la competenza e la preparazione di un DPO, ma non sono assolutamente necessarie né possono assumere un valore decisivo.

Michele Iaselli è autore del recente Manuale Operativo del DPO (Feltrinelli)

@RIPRODUZIONE RISERVATA

Articolo 1 di 4