Nel giorno del quinto anniversario dell’entrata in vigore del Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation, che è diventato operativo il 25 maggio 2018), l’Autorità Garante per la Protezione dei dati Personali ha annunciato, nella sua ultima newsletter, di avere avviato una indagine per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto dei DPO da parte degli enti locali.

1. L’iniziativa

Quando il trattamento dei dati personali è effettuato da soggetti pubblici, infatti, è obbligatorio designare la figura del Data Protection Officer, che può essere soggetto interno o esterno all’organizzazione, e i dati di contatto del medesimo devono essere comunicati al Garante della Privacy attraverso l’apposita procedura online, al fine di garantire che l’Autorità possa contattare il DPO in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.

Questa iniziativa si colloca nella più ampia azione svolta dal Garante (non solo nel nostro Paese, ma a livello europeo) di verifica delle effettive competenze dei DPO, al fine di scongiurare i fenomeni di incetta di incarichi al minor prezzo possibile e di attestare che il DPO nominato abbia effettivamente le caratteristiche di preparazione, imparzialità e conoscenza della materia che sono richieste dalla normativa.

Molte volte ci si è soffermati sull’importanza del ruolo svolto dal DPO negli enti pubblici per rendere effettivo il principio di accountability, ed anche al fine di evitare le pesantissime sanzioni che il GDPR porta con sé, che si dividono in sanzioni amministrative fino a 20 milioni di euro (art. 83 GDPR) e responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).

Peraltro, su questo punto si è recentemente pronunciata la Corte di Giustizia europea, stabilendo che anche i danni di lieve entità (se dimostrati) possono essere oggetto di risarcimento (leggi l’articolo qui in riferimento al data breach dell’ASL Abruzzo).

Vediamo in questo articolo quali sono le caratteristiche che il DPO di un ente locale dovrebbe avere, quali sono i suoi compiti, le sue caratteristiche, la preparazione che dovrebbe avere: un breve vademecum per la nomina di un DPO (quasi) perfetto

2. Chi è e che cosa fa il DPO

Si tratta di una figura professionale altamente specializzata, che deve possedere requisiti specifici ed in particolare una preparazione ed una formazione adeguata nei temi della data protection e della cybersecurity. Il suo ruolo è quello di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale. Inoltre, il DPO funge da punto di collegamento tra il Garante e il Titolare e tra questi e gli interessati. Ecco perché è fondamentale che la sua nomina venga comunicata all’Autorità seguendo la procedura disponibile online.

In base al principio di accountability non è sufficiente nominare formalmente un DPO per aver adempiuto alla norma. La nomina deve essere effettiva e la scelta deve cadere su una figura adeguatamente preparata. Nonostante la responsabilità in merito al trattamento dei dati sia sempre in capo al Titolare, in ogni caso aver nominato un vero e preparato DPO può essere già considerato come un segnale di accountability dell’ente.

Il DPO può essere interno o esterno all’ente, ma, se nominato internamene, non potrà coincidere con l’ufficio preposto alle politiche di data protection e cybersecurity. Se nominato esternamente, oltre ad avere diritto ad un equo compenso ed essere supportato con risorse umane e finanziarie adeguate per svolgere il suo compito, non deve essere trattato alla stregua di consulente. Il DPO fa un mestiere, il consulente privacy ne fa un altro, e controllore e controllato difficilmente possono coincidere.

Nella sua applicazione pratica, la nomina del DPO incontra una serie di problematiche che rendono alcune volte svuotano di valore e di pregnanza questa figura fondamentale per il trattamento dei dati.

Non esiste un albo, non esiste un elenco, non ci sono requisiti specifici o percorsi di studio che devono essere obbligatoriamente seguiti: in sostanza, un soggetto può definirsi DPO solo quando svolga effettivamente almeno un incarico di DPO. Vi sono sul mercato moltissimi corsi per preparare i futuri DPO e molti di essi sono davvero buoni, ma non bisogna confondere il fatto che questi corsi insegnino le materie con cui, in futuro, il DPO si dovrà confrontare, con il fatto che attribuiscano la qualifica astratta di DPO, che, di fatto, non esiste.

Il possesso di determinati requisiti, come già ampiamente chiarito dal Garante (nota del 28.7.17 e FAQ del 15.12.17) non costituisce prova del possesso delle competenze necessarie, ed è compito del Titolare del trattamento verificare che queste competenze siano effettivamente esistenti in capo al soggetto prescelto, ad esempio verificando gli incarichi pregressi, la formazione, oppure conducendo un colloquio approfondito ed adeguato.

3. Il conflitto di interessi

Attenzione alle nomine di un DPO in conflitto di interessi.

Poiché ruolo del DPO è quello di consigliare, assistere il Titolare, ma anche di supervisionare che il Regolamento sia correttamente applicato e di fungere da punto di contatto tra il Titolare e gli interessati, e tra il Titolare e il Garante, non possono e non devono essere nominati DPO dirigenti dell’Ente, segretari comunali, direttori amministrativi: insomma, non può essere DPO nessuno che ricopra funzioni dirigenziali ed abbia potere decisionale in seno all’ente, proprio perché controllore e controllato non possono coincidere in una unica figura.

Altro tema che è già finito sotto la lente del Garante (in Italia, come in tutta Europa) è il cosiddetto “collezionismo” di incarichi, ovvero la pessima prassi di nominare lo stesso DPO per diverse centinaia di enti, anche dislocati in diversi punti del Paese. Se è vero, come è vero, che il DPO deve svolgere il suo compito in maniera effettiva e concreta, e non è sufficiente la mera nomina formale, risulta poco credibile che lo stesso soggetto possa “seguire” con impegno e competenza centinaia di enti locali contemporaneamente. Allo stesso tempo, gli enti dovrebbero riservare ai DPO un compenso equo, proporzionato alla delicatezza del ruolo svolto ed alle responsabilità ad esso connesse. L’offerta (e l’accettazione) di cifre risibili fa purtroppo capire che ancora molta strada c’è da fare per arrivare ad una piena consapevolezza; e se il DPO, specie se all’inizio della propria carriera, è portato ad accettare qualsiasi incarico a qualsiasi prezzo, dovrebbe essere il Titolare, che in ultima analisi risponde della propria accountability, a gestire nomine e compensi in maniera più responsabile. Responsabilità che, a giudicare dai criteri di aggiudicazione delle gare del MEPA, dove l’unico requisito che sembra contare è l’offerta economicamente più vantaggiosa, pare essere piuttosto carente.

Concludiamo ricordando che la sanzione per l’Ente che violi le disposizioni inerenti la nomina del DPO e in generale gli artt. 37, 38, 39 del GDPR può arrivare fino a 2.000.000 euro: tanto potrebbe costare approssimazione ed incompetenza all’Ente che desideri risparmiare.

E forse, tra 1.000 euro annui e 2.000.000 di sanzione, c’è ampio spazio per giungere ad una soluzione di mediazione, che metta in sicurezza i dati dell’Ente e renda giustizia alla fondamentale figura professionale del Data Protection Officer.

