Le linee di indirizzo sul DPO nella pubblica amministrazione

Il Garante per la Privacy ha pubblicato un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati in ambito pubblico.

Dopo tre anni dalla piena applicazione del Regolamento UE, il Garante ha rilevato l’esigenza di fornire chiarimenti perché risultano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura. Sembra che il ruolo del DPO nelle pubbliche amministrazioni non sia affidato correttamente o di fatto.

Nel documento si chiarisce quindi diverse domande ancora aperte. Qual è il ruolo effettivo del Responsabile per la protezione dei dati nella PA? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con gli altri incarichi o può incorre in situazioni di conflitto di interessi? Come deve supportare e coinvolgere, e per quali compiti?

La nomina del DPO è obbligatoria nell’ambito pubblico 

Tale figura, che tutte le PA sono obbligate a nominare (art. 37 Gdpr), costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali. Innanzitutto, se si tiene presente la crescente necessita di trasformare anche le pubbliche amministrazioni verso i processi informatici e digitali.  

Un DPO esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, una risorsa essenziale per le PA e un valido punto di contatto per l’autorità di controllo.

Stop alla incetta di nomine di DPO 

Il Garante mette quindi un freno alla nomina di Responsabile per la protezione dei dati a fornitori esterni di Servizi technology e di avvocati che difendono l’ente.

Risulta illegittimo riservare le gare per scegliere tale figura a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). La designazione del DPO per le pubbliche amministrazioni è un compito complesso e di grande responsabilità. 

Di seguito le indicazioni più rilevanti fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico» che si trova in allegato al provvedimento del Garante n. 186 del 29/4/2021. È doveroso sottolineare che è comunque l’ente a sceglie il referente DPO a sua discrezione e responsabilità.

Chi può essere designato come DPO

  • Cumuli di incarichi – Sono da evitare i troppi incarichi allo stesso Responsabile per la protezione dei dati esterno. L’ente dovrà verificare il numero di incarichi già ricoperti dalla società o dal professionista prescelto oltre alla specializzazione. In caso l‘ente scelga una società, dovrà valutare la presenza di adeguate risorse a supporto del DPO nominato.
  • Il difensore legale – Il Garante invita le Pubbliche amministrazioni di non nominare un DPO che, contemporaneamente, svolge per le medesime il ruolo di difensore in giudizio.
  • Il fornitore IT – Particolare attenzione viene posta al settore IT, poiché la regola prevede di non designare come DPO un soggetto esterno che già fornisce servizi all’ente. Nel caso non si possa fare diversamente, l’ente deve dichiarare per iscritto la motivazione di tale scelta e che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di DPO e gli altri servizi). 

La posizione del DPO

  • I conflitti di interesse – Un punto fondamentale nella protezione dei dati, derivante dal GDPR (art.38, comma 3), che richiede una attenta valutazione caso per caso. Si distingue quindi gli enti di carattere nazionale e/o territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane, contabilità o il responsabile IT al ruolo di DPO interno. Negli enti più piccoli, si deve fare un’attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se si tratta invece di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l’astensione in caso di conflitto di interesse o cautele simili.
  • La gerarchia – L‘autonomia di giudizio e indipendenza deve essere garantita e quindi va preferito, per la nomina del DPO interno, un dirigente o a un funzionario di alta professionalità. Nel caso l’ente scelgaun funzionario, occorre l’adozione di idonee garanzie di indipendenza, considerato che il DPO potrebbe valutare la condotta di un dirigente.
  • I titoli – Non è consentito scegliere il DPO in base a determinati titoli, quali laurea, iscrizione ad un albo professionale, certificazione o altro. Persino la certificazione volontaria (UNI 11697) è soltanto un elemento utile, ma non un’autorizzazione a priori.
  • Il referente – Se l’ente affida il servizio di DPO a una società, va indicata una persona specifica come referente. Il referente indicato da DPO, persona giuridica, non deve necessariamente essere undipendente della società incaricata. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all’ente qualsiasi variazione della persona fisica.

Ricompenso e durate dell’incarico

  • La durata dell’incarico – Si ritiene come congruo periodo di incarico da DPO, la durata contrattuale intorno ai tre anni. Trattandosi di una linea guida, sta all’ente pubblico determinare la durata. In ogni caso deve essere rispettato il principio di rotazione, nell’affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie.
  • Il compenso – Nessuna indicazione da parte del Garante sui compensi, ma l’invito a non aggiudicare il bando in base al criterio del prezzo più basso.
  • La pubblicazione – I dati di contatto del DPO devono essere pubblicati sul sito web delle pubbliche amministrazioni. Tali dati devono essere facilmente riconoscibile, in una sezione dedicata, nella sezione dell’organigramma e ai relativi contatti. Non c’è alcun obbligo di pubblicare il nome del DPO. Consigliamo di attivare una casella postale dedicata al DPO.
  • La comunicazione al Garante – I dati di contatto del DPO nominato devono essere comunicati al Garante tramite l’apposita sezione sul sito web. Nella stessa sezione vanno comunicati anche le eventuali successive variazioni come per esempio nel caso di cambio nomina. È prevista una sanzione amministrativa per il mancato aggiornamento dei dati di contatto del DPO, sia sul sito web dell’ente sia nella relativa comunicazione al Garante.

Conclusione

In base alle linee guida del Garante, sarà quindi necessario per tante amministrazioni pubbliche di effettuare una revisione degli incarichi affidati. E, per chi non ha ancora conferito l’incarico, di attivarsi al più presto. Poiché il DPO assolve funzioni di supporto, di controllo, consultive e formative e che deve essere coinvolto tempestivamente e adeguatamente in tutte le attività che riguardano la protezione dei dati personali.

Oltre a dedicarsi alle evidenti necessita di fornire chiarezza per ambito pubblico, il Garante è intervenuto anche sulle FAQ riguardanti il settore privato. Poiché la figura del DPO svolge un ruolo fondamentale, pur con sensibili differenze rispetto alle PA.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it