DPO nella PA, troppe storture: parola del Garante Privacy - Agenda Digitale

il documento

DPO nella PA, troppe storture: parola del Garante Privacy

Ecco che dice il Garante Privacy con “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”. Per porre fine a tre anni di irregolarità

25 Mag 2021
Manuel Salvi

DPO GRC Team

Dopo averlo annunciato in un webinar poche settimane, Francesco Modaferri, esponente dell’ufficio del Garante specificatamente per le pubbliche amministrazione, è passato dalle parole ai fatti, con la pubblicazione del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”.

Nell’articolo ci limiteremo a riportare i passaggi salienti del documento di 36 pagine, una sorta di raccolta di precedenti interventi dell’Autorità a seguito delle istanze pervenutele.

Troppi errori sui DPO nel pubblico

Il documento soprattutto nell’introduzione è particolarmente critico sull’applicazione dell’Artt. 37 – 39 del GDPR relativi per l’appunto alla figura del DPO.

WEBINAR
27 Settembre 2021 - 18:00
360ON Tv - Via al nuovo “Gdpr” cinese: quali impatti sul business delle aziende italiane?
Legal
Sicurezza

Se la PA viola il GDPR: il caso delle sanzioni a Mise, Regione Lazio e Inps

Dopo tre anni, sembra che il lavoro da fare sia ancora molto come evidenziato da questo passaggio del documento: “si registrano ancora, nella realtà delle pubbliche amministrazioni, diverse incertezze che impediscono una compiuta realizzazione di questa importante figura e che rischiano di pregiudicare una piena adesione ai principi e alle regole della protezione dati”.

Il Garante lamenta inoltre uno scarso physique du rôle da parte dei DPO che, quando nominati, sembrano non essere in grado di svolgere appieno il loro ruolo, vuoi per timidezza o per scarso coinvolgimento: “la stessa interlocuzione – in frequenti casi, anche la mancata interlocuzione – con i RPD dei vari enti pubblici ha denotato significative problematicità circa il coinvolgimento e l’apporto che questa figura può dare ai titolari del trattamento in ambito pubblico”.

Punto di contatto

L’Autorità ribadisce con forza, in più punti del documento, l’indipendenza e autonomia del DPO, definito dalla stessa “facilitatore”, in quanto facilita l’accesso, da parte degli uomini del Garante, ai documenti e alle informazioni necessarie.

Durante le attività di ispezione dell’Autorità e/o degli uomini del Nucleo Speciale Privacy della GdF, deve sempre essere garantito il supporto del DPO, per semplificare le indagine e la raccolta puntuale della documentazione e delle informazioni corrette e pertinenti da fornire all’Autorità.

Proprio per questa sinergia, già individuata dal GDPR, fra DPO e Autorità, l’Autorità invierà in sede di istruttoria preliminare, le richieste di informazioni anche al RPD, pur rimanendo l’onere di fornire riscontro (e la conseguente responsabilità dell’eventuale inadempimento) in capo al titolare/responsabile.

Il Garante a tal proposito definisce essenziale la comunicazione tempestiva all’Autorità dei dati esatti di contatto del DPO, anche per evitare l’inoltro di comunicazioni a soggetti che non sono (o non sono più) DPO.

Obbligo di designazione DPO nella PA

Il documento sottolinea l’importanza di nomina del DPO per quei “soggetti privati che esercitano funzioni pubbliche”.

Dopo aver sommariamente rimandato l’onere della valutazione al principio di accountability del titolare, si ribadisce: “è comunque fortemente raccomandato individuare ed investire una figura dell’incarico di RPD, tenendo conto, tra le altre cose, che le caratteristiche dei trattamenti da costoro svolti sono assimilabili a quelli effettuati da soggetti propriamente pubblici, stante la medesima riconducibilità a compiti di interesse pubblico”.

L’autorità con una chiarezza disarmante per quella che è solitamente la comunicazione istituzionale italiana elenca esempi in cui sia necessaria la nomina.

Società concessionarie dei servizi di trasporto pubblico locale, di gestione delle autolinee pubbliche o di raccolta dei rifiuti, allorché utilizzano sistemi che comportano il trattamento, su larga scala, di dati di dipendenti e utenti, associato a un monitoraggio regolare o sistematico (GPS, tracciamento dei titoli di viaggio o call center per la gestione delle telefonate dell’utenza) sono tenute alla nomina.

In ambito sanitario ospedali privati, case di cura o RSA sono sottoposte all’obbligo di nomina mentre il singolo professionista, che operi in regime di libera professione a titolo individuale, farmacie, parafarmacie, e aziende ortopediche e sanitarie, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.

Nel documento si discute anche della specifica vacatio fra la conclusione di un incarico e la nomina del successivo, della quale nello specifico rimandiamo al documento e in estrema sintesi evidenziamo che il ruolo non può essere lasciato scoperto e la P.A. è comunque tenuta a individuare temporaneamente, al proprio interno, un dirigente/funzionario da designare interinalmente nel ruolo.

DPO cumulativo

Il documento non aggiunge nulla di nuovo all’At. 37.3 del GDPR, ribadisce che titolari con strutture organizzative e dimensioni limitate (es. istituti scolastici o enti comunali) potrebbero avvalersi di un DPO di gruppo, purché sia garantito l’efficace svolgimento dei propri compiti.

L’Autorità suggerisce in tal caso la costituzione di un gruppo di collaboratori a supporto del RPD designato in comune; di definire preventivamente la percentuale del tempo lavorativo destinata a ciascun titolare; di verificare eventuali conflitti d’interesse e accertarsi che la comunicazione all’Autorità garante sia fatta per ciascuna amministrazione.

Non solo avvocati

Il Garante lamenta una sorta di predilezione per la figura dell’avvocato come candidato ideale al ruolo di DPO e sottolinea che l’esclusione di altre figure sia sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali).

Il Garante quindi suggerisce di verificare la conoscenza di norme e prassi attraverso:

  • Documentata esperienza professionale e/o formazione specialistica;
  • Certificazioni volontarie acquisite sulla base della norma tecnica UNI 11697;
  • Curriculum vitae.

DPO esterno

Relativamente alla nomina di DPO esterni il Garante lamenta scarsa trasparenza delle nomine, numeri eccessivi di incarichi acquisiti in capo alla medesima società, tempi d’incarico e risorse inadeguate.

  1. Gli atti di nomina non risultano sempre pienamente allineati tra loro, per cui le indicazioni in ciascuno contenute risultano non univoche. Ad esempio, l’offerta di servizio emessa dalla Società di servizio, indicante la persona fisica che si occuperà di svolgere l’attività di DPO, diviene contratto di servizio, mentre l’ente con decreto del Sindaco nomina la persona fisica, generando confusione sulle reali responsabilità in capo a ciascun soggetto. Situazione complicata poi da fatto che spesso la società di servizio è o viene nominata responsabile ex Art. 28.

Il Garante richiede che vi sia coerenza fra i diversi documenti di assegnazione dell’incarico, che la designazione sia parte integrante dell’apposito contratto di servizio, che sia individuata, in maniera inequivocabile, la persona del RPD, e che risultino indicate le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti

  1. Altra criticità individuata dagli accertamenti ispettivi condotti è l’esistenza di “società che svolgono incarichi di RPD per conto di numerosi soggetti pubblici (nell’ordine delle centinaia), spesso anche variamente dislocati sull’intero territorio nazionale. Oltre all’incarico di RPD, è emerso che tali società svolgono anche altri incarichi che pur non essendo, in generale, incompatibili con il ruolo di RPD (ad esempio, quello di referente nell’ambito della sicurezza del lavoro) potrebbero comunque rendere difficile lo svolgimento di tutti i compiti affidati, soprattutto quando queste società operano con risorse non adeguate, incidendo anche sulla credibilità della qualità del lavoro svolto come RPD.

L’ente dovrebbe quindi verificare il numero di incarichi in capo al fornitore, la specializzazione in ragione dei diversi ambiti svolti, la disponibilità di adeguate risorse per svolgere tutte le attività.

  1. Il Garante indica, in linea di massima, quale periodo congruo per la durata dell’incarico i tre anni, al fine di dare al RPD il tempo necessario per poter conoscere adeguatamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati.
  2. L’Autorità ritiene che l’eccessivo abbassamento della remunerazione per la fornitura del servizio di RPD abbia un duplice effetto negativo: da una parte, quello di consentire l’aggiudicazione in favore di candidati che non abbiano una formazione specifica idonea; dall’altra, quello di spingere i soggetti affidatari, per conseguire una remunerazione adeguata, ad accumulare un elevato numero di incarichi, con la conseguenza di non riuscire ad offrire un servizio efficace a ciascuno dei propri clienti.

Pubblicazione e comunicazione

L’Autorità ribadisce e sottolinea l’importanza di pubblicare e comunicare i dati di contato del DPO e nello specifico sulla home page del sito web del titolare.

Si suggerisce inoltre di rendere disponibili, sia nei confronti del pubblico che dell’Autorità, una casella “istituzionale” ad hoc attribuita specificamente al solo RPD, evitando l’utilizzo di caselle che siano direttamente espressione del titolare del trattamento (ad esempio, perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”). Invero, perché sia effettivamente indipendente nell’esercizio delle sue funzioni (come richiesto dal cons. 97 del Regolamento), sarebbe opportuno che il RPD venisse contattato attraverso canali che riconducano direttamente a lui, senza l’intermediazione di uffici facenti capo al titolare.

Coinvolgimento del titolare

Il Garante lamenta inoltre la prassi di instaurare contatti, solo saltuari, la quale vanifica il senso della presenza del RPD e, con esso, l’approccio di privacy by design e by default promosso dal Regolamento.

L’autorità critica sia gli RPD, poco propositivi, sia i titolari portati a considerare la figura del DPO quale mero adempimento formale.

Al fine di rendere effettivo il coinvolgimento del DPO l’Autorità suggerisce:

  1. a) l’individuazione, all’interno dell’amministrazione, di una figura, adeguata per posizione e competenze, che funga da punto di riferimento per il RPD, con il quale quest’ultimo possa interloquire costantemente;
  2. b) la condivisione di un’agenda con incontri periodici;
  3. c) la proposta, da parte del DPO al titolare, di attività di miglioramento continuo (formazione, informazione, revisione documentale, verifica misure di sicurezza, rendicontazione attività svolte).

DPO interno e conflitti d’interesse

L’Autorità ha riscontrato numerose situazioni in cui viene nominato, quale RPD, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività di RPD con la necessaria indipendenza.

Il tema dell’incompatibilità si presenta, quando il DPO:

  • rivesta incarichi quali quello di componente di un organismo collegiale (ad esempio, un comitato direttivo o un collegio disciplinare) o di titolare di un incarico monocratico dotato di poteri decisionali (es. vicepresidente, dirigente degli affari generali, direttore amministrativo);
  • è figura già deputata ad assolvere altri specifici incarichi che comportano poteri decisionali in ordine a finalità e mezzi dei trattamenti posti in essere (es. in materia di trasparenza e/o di prevenzione della corruzione);
  • è anche dirigente dell’unità organizzativa chiamata a curare la valutazione d’impatto sulla protezione dei dati relativa ad uno specifico trattamento (direzione risorse umane, contabilità, il responsabile IT, o quella di dirigente dei dipartimenti che si occupano di conformità normativa, della gestione del rischio e di audit interni).

Conclusioni

Il documento ha fatto luce su molti segreti di Pulcinella, ben conosciuti agli addetti ai lavori. Il fatto che anche il Garante ne sia consapevole e che lo abbia palesato con questo documento fa ben sperare, affinché si inizia un virtuoso percorso di conformità verso molti aspetti, che  nella sostanza impediscono o rendono vana l’istituzione della figura del DPO e del GDPR tout court.

WHITEPAPER
Difendere le organizzazioni dal crimine informatico: una guida pratica.
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4