Dopo l’indagine condotta sull’adozione del cloud nelle Pubbliche Amministrazioni, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE, da non confondersi con il Garante Europeo, che è invece l’Autorità Garante per la protezione dei dati dell’Unione) ha promosso una nuova attività di indagine coordinata. Questa volta a finire sotto la lente dell’EDPB sono i DPO, data Protection Officer, o in italiano Responsabile della Protezione dei dati, con particolare riferimento alla loro designazione ed alla posizione ricoperta dagli stessi all’interno dell’azienda o dell’ente in cui svolgono il loro ruolo.
Il Comitato Europeo ha avviato questa attività di indagine nell’ambito del CEF, Coordinated Enforcement Framework, ossia l’attività svolta nei singoli stati dell’Unione dai vari Garanti con lo scopo di armonizzare l’applicazione del regolamento Europeo per la Protezione dei Dati personali (GDPR) e rafforzare la cooperazione tra le diverse Autorità di Controllo.
Per svolgere la sua attività di attuazione del regolamento 679/2016, nel 2023 il CEF ha coinvolto 26 Autorità di controllo dello Spazio Economico Europeo (SEE), tra cui anche il Garante privacy italiano e quello Europeo della protezione dei dati.
Si tratta di un’azione rilevante per la corretta applicazione del GDPR negli Stati dell’Unione, in quanto concretizza le disposizioni del Regolamento stesso riguardo al coordinamento delle diverse Autorità, per arrivare ad un’applicazione coerente ed omogenea della normativa. Non solo, ma essendo la norma europea sulla protezione dei dati un Regolamento, uguale per tutti gli stati, e basandosi sul noto principio dell’accountability, cioè della responsabilizzazione, nodo cruciale di tutta la compliance GDPR e fonte interpretativa piuttosto ondivaga, avere indicazioni omogenee non potrà che portare vantaggi.
Vantaggi per i Titolari del trattamento, che finalmente sapranno come, quando, perché e come nominare un DPO (fuori dai casi in cui è lo stesso regolamento a imporlo, ad esempio per le Pubbliche Amministrazioni) e vantaggi per i DPO stessi, che avranno qualche linea guida in più da seguire
Indice
1. Chi è e che cosa fa un DPO
Si tratta di una figura professionale altamente specializzata, che deve possedere requisiti specifici ed in particolare una preparazione ed una formazione adeguata nei temi della data protection e della cybersecurity. Il suo ruolo è quello di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione la formazione del personale.
La figura del DPO funge da raccordo tra Titolare e Interessati e tra Titolare e Garante e quanto più sarà competente e preparata, tanto più sarà difficile che il Titolare incorra in responsabilità.
Se nominato internamene il DPO non potrà coincidere con l’ufficio preposto alle politiche di data protection e cybersecurity. Se nominato esternamente, oltre ad avere diritto ad un equo compenso ed essere supportato con risorse umane e finanziarie adeguate per svolgere il suo compito, non deve essere trattato alla stregua di consulente. Il DPO fa un mestiere, il consulente privacy ne fa un altro, e controllore e controllato difficilmente possono coincidere.
2. Quali problemi nella pratica: la preparazione del DPO
Non esiste un albo, non esiste un elenco, non ci sono requisiti specifici o percorsi di studio che devono essere obbligatoriamente seguiti: in sostanza, DPO è chi il DPO fa, ovvero si può dire di essere DPO quando si riceve almeno una nomina. Vi sono sul mercato moltissimi corsi per preparare i futuri DPO e molti di essi sono davvero buoni, ma non bisogna confondere il fatto che questi corsi insegnano le materie con cui, in futuro, il DPO si dovrà confrontare, con il fatto che attribuiscono la qualifica di DPO, la quale, di fatto, non esiste.
Il possesso di determinati requisiti, come già ampiamente chiarito dal Garante (nota del 28.7.17 e FAQ del 15.12.17) non costituisce prova del possesso delle competenze necessarie, ed è compito del Titolare del trattamento, ovvero dell’Ente pubblico, verificare che queste competenze siano effettivamente esistenti in capo al soggetto prescelto, ad esempio verificando gli incarichi pregressi, ma formazione, oppure conducendo un colloquio approfondito e adeguato.
Potrebbero interessarti anche
3. Il conflitto di interessi
Attenzione alle nomine di un DPO in conflitto di interessi.
Poiché ruolo del DPO è quello di consigliare, assistere il Titolare, ma anche di supervisionare che il Regolamento sia correttamente applicato e di fungere da punto di contatto tra il Titolare e gli interessati, e tra il Titolare e il Garante, non possono e non devono essere nominati DPO dirigenti, amministratori delegati, direttori amministrativi: insomma, non può essere DPO nessuno che ricopra funzioni dirigenziali ed abbia potere decisionale in seno all’ente, proprio perché controllore e controllato non possono coincidere in una unica figura.
4. Budget e collezione di incarichi
Evidentemente dotati di un dono di ubiquità, che invece sfugge ai comuni mortali, i DPO in questi quasi cinque anni, ovvero dall’entrata in vigore del GDPR nel maggio 2018, non solo sono emersi come funghi, ma altresì hanno fatto incetta di incarichi: alcuni soggetti sono arrivati ad avere nomine anche in 200 Comuni, tra l’altro situati ai quattro capi del Paese, cosa che rende non difficile, ma proprio impossibile svolgere il proprio incarico con un minimo di competenza, anche se si dispone di un team di supporto: basta applicare un po’ di matematica elementare per averne la prova.
Il nemico da combattere, in questo caso, è duplice: da un lato dovrebbe essere il Titolare, una volta verificate le credenziali del suo prossimo DPO, a rifuggire un soggetto già talmente ricco di incarichi da lasciare presagire, al di là di ogni più rosea previsione, l’impossibilità di acquisirne di nuovi.
Dall’altro, tuttavia, non è sempre e solo responsabilità del DPO: i compensi stabiliti per queste figure sono spesso bassi ai limiti dell’offensivo: dai 300 ai 1000 euro annui per svolgere un incarico così fondamentale e determinante per il corretto approccio dell’Ente alla protezione dei dati. L’offerta (e l’accettazione) di cifre risibili fa purtroppo capire che ancora molta strada c’è da fare per arrivare ad una piena consapevolezza; e se il DPO, specie se all’inizio della propria carriera, è portato ad accettare un incarico “purché sia” perché fa curriculum, sta al Titolare, che in ultima analisi risponde della propria accountability, gestire nomine e compensi in maniera più responsabile. Responsabilità che, a giudicare dai criteri di aggiudicazione delle gare del MEPA, dove l’unico requisito che sembra contare è l’offerta economicamente più vantaggiosa, sembra essere piuttosto carente.
5. Le indagini del CEF
Quale intermediario tra Autorità di protezione dei dati, Titolari del trattamento pubblici e privati e interessati, il ruolo del DPO è ritenuto cruciale per “contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati”, ha spiegato il Garante Italiano per la Privacy in una sua nota.
Per valutare se i DPO operino effettivamente e concretamente secondo quanto previsto dal GDPR agli artt. 37-39 e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:
- Inviando questionari ai DPO per facilitare la raccolta di elementi istruttori oppure per individuare la necessità di accertamenti formali;
- Avviando accertamenti formali;
- Proseguendo gli accertamenti formali già in corso.
Scrivi un commento
Accedi per poter inserire un commento