Enti pubblici e settore privato in affanno con la privacy

Norme privacy oscure mettono all’angolo gli enti pubblici e anche il settore privato. I dati rilevano che dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata a Pubbliche amministrazioni e il 28,8% ad aziende. In quel periodo sono state emanate un totale di 80 ordinanze-ingiunzioni, di cui 57 a pubbliche amministrazioni e 23 a privati. Se le sanzioni alle aziende private arrivano, come abbiamo visto, a importi milionari, quelle rivolte alle pubbliche amministrazioni preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Riscontriamo quindi Enti Pubblici e il settore privato in affanno con la gestione privacy. I numeri riportati sono stati elaborati contando i provvedimenti pubblicati sul sito del Garante della privacy. Si evince inoltre che il numero delle sanzioni inflitte alle amministrazioni civiche tocca addirittura il 31%.

Gli enti pubblici sanzionate sono:

  • l’arma dei carabinieri
  • una capitaneria di porto 
  • il ministero dell’interno
  • scuole e università 
  • ospedali e aziende sanitarie 
  • comuni

Siamo definitivamente entrati dal 25 maggio 2018 nell’era della privacy europea pianificata sulla base del Regolamento Ue 2016/679 (GDPR). Pare però che il regolamento Ue non abbia ancora realizzato l’unificazione normativa del vecchio continente in materia di protezione dei dati. Anzi, ci troviamo in uno stato confusionale dove confluisce l‘unico corpo normativo europeo, generico, con in contesti nazionali molto differenti.

I dati rilevati evidenziano quanto sia difficile essere in regola con la privacy, in mancanza di chiarezza ed uniformità. A pagare lo scotto di questa situazione sono cittadini, imprese e pubbliche amministrazioni. Sembra sia tanto difficile al punto che anche le amministrazioni statali centrali sono state punite con sanzioni pecuniarie.

Questi effettivi tre anni del GDPR, hanno fatto emergere che i titolari di trattamento siano in affanno per riuscire a stare al passo con norme forse troppo avanzate. Non è facile per enti pubblici e il settore delle aziende private sapere come gestire la privacy.

Questa constatazione vale prioritariamente per le pubbliche amministrazioni e anche per le imprese, nel cui ambito tra i sanzionati non ci sono solo gli operatori di telecomunicazioni e di marketing, ma anche operatori della ristorazione, dei trasporti e della distribuzione.

Considerando quindi tutto ciò, il Garante ha pubblicato il provvedimento n.186 del 29 aprile 2021 con lo scopo di fornire chiarimenti necessari riguardo designazione, posizione e compiti del DPO nelle pubbliche amministrazioni. (vedasi il nostro precedente blog)

Cosa può fare la pubblica amministrazione per scongiurare ispezioni e sanzioni?

Regolamento degli uffici 

In tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici è da tener presente la funzione del DPO. Trattandosi di un incarico che deve operare senza conflitti di interessi, è questa la sede per esplicitare le ragioni della scelta. Inoltre vanno individuate i criteri di scelta, le garanzie di autonomia e indipendenza, le ripercussioni a proposito di rapporti di gerarchia, la posizione nell’organigramma, la durate dell’incarico e le eventuali modalità di successione.

Scelte organizzative 

La grande sfida è evitare conflitti di interesse sia quando si sceglie un DPO interno sia quando si incarica un esterno. Il Garante non esclude a priori la possibilità di scegliere un DPO interno, ma se l’ente pubblico opta per quella possibilità, deve necessariamente premurarsi delle giustificazioni poste alla base di tale scelta. In più deve aver disciplinato come gestisce il possibile conflitto di interessi. Un esempio calzante per l’ipotesi di conflitto d’interessi è la nomina da DPO di un fornitore che già fornisce altri servizi. Una scelta simile è ovviamente sconsigliata. Tuttavia, se si opta per una nomina del fornitore esistente bisogna motivare la scelta e queste motivazioni devono fare appello non soltanto alla professionalità dell’operatore, ma anche alle cautele a presidio della autonomia e indipendenza della funzione di DPO. Significa che il contratto con il fornitore deve contenere una serie di clausole cautelative quali: 

  • la assicurazione che nell’organizzazione della società esterna le attività di DPO vengano svolte da un soggetto che non svolge mansioni di fornitura di altri servizi;
  • le tutele del referente da possibili atti ritorsivi o negativi da parte del suo datore di lavoro;
  • continuità dell’attività del referente DPO a prescindere dalle vicende della fornitura di altri servizi.

Inoltre, deve essere gestito l’obbligo da parte del DPO di comunicare all’ente ogni evenienza che metta in dubbio la sua autonomia, l’obbligo di astenersi da atti e condotte in conflitto di interessi, le modalità per il subentro di altri quando non sarà possibile risolvere il conflitto. 

Le gare degli enti pubblici

L’Ente pubblica applica, nella scelta del DPO esterno, le regole stabilite dal codice dei contratti pubblici. Quindi deve indicare i requisiti di partecipazione e i criteri di selezione. Il provvedimento del Garante invita alla cautela. Poiché sono illegittime le cause di esclusione dalla partecipazione in relazione al mancato possesso di un titolo abilitante. La ragione sta nel fatto che non c’è un titolo abilitante specifico per il ruolo da DPO. Non sarà quindi possibile riservare la partecipazione ad una determinata categoria professionale o ai possessori di certificazioni volontarie.

Ma se questo sembra facile, basta non inserire clausole restrittive, la difficoltà sta nel trovare i criteri per valutare le candidature presentate e come pesare i diversi parametri. I parametri possono derivare da titoli di studio, certificazioni, esperienza nel campo o anni di lavoro in posizioni analoghe. Un ulteriore elemento da valutare è la durata del servizio e il compenso. Il Garante, a tale proposito, ha fornito l’indicazione del periodo di tre anni oltre a non aggiudicare la gara a ribasso del prezzo.  

Conclusione

Anche se a distanza di cinque anni dall’entrata in vigore del Gdpr e di tre anni dalla piena operatività dello stesso mancano importanti pezzi di normativa, il Garante ha fornito chiare indicazioni al fine di adempire al GDPR. Sta ora alle pubbliche amministrazioni di adoperarsi con controlli e verifiche al fine di evitare controlli e sanzioni. Ormai abbiamo compreso che la corretta gestione dei dati personali, sia nella pubblica amministrazione sia nel settore privato, è un compito importante e da affidare a chi di competenza. L’improvvisazione e le scelta basate su favoritismi o a ribasso del costo, si sono rivelato in tanti casi, molto più costosi. Sia le enti pubblici sia il settore privato devono velocemente affrontare la gestione dei dati per non rimanere in affanno con la privacy.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it