Dopo un quinquennio dalla piena applicabilità del GDPR e praticamente un settennato da quando lo stesso è entrato in vigore, ci sono Enti locali che non hanno ancora nominato un Data Protection Officer -DPO.
Così l’Autorità Garante Privacy non più disposta ad accettare questa inerzia e inadempienza, è passata decisa all’azione avviando un’indagine a tappeto atta a verificare se i grandi Enti prima, e poi quelli più piccoli, comunque obbligati, si sono messi in regola con il GDPR setacciando nomine, designazioni e attività, (se) svolte.
Il Garante: al via il rendiconto Comuni che non hanno un DPO
Con la newsletter del 26 maggio 2023, il Garante Privacy prende di mira gli enti locali che non hanno ancora nominato un DPO, comunicandolo giusto il giorno dopo il “GDPR Day”, avviando “un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data Protection Officer, DPO, nell’accezione inglese)” spiegando come “questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi”.
Insomma, questa volta l’Autorità adotta la linea dura: il DPO si deve avere e gli Enti locali, piccoli o grandi che siano, non possono più traccheggiare. A maggior ragione che da un lato è un obbligo di legge ex art. 37 sanzionabile ex art. 83, e dall’altro a fronte di tutte le campagne di sensibilizzazione, le faq, i confronti e i richiami fatti in questi 5 anni.
Ma non è tutto, il Garante (in questa nota) ricorda ancora che “per essere in linea con il Regolamento Ue, […] quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD”.
Una volta designati, tali soggetti pubblici (e non solo, pensando a quei privati obbligati a dotarsi di un DPO) devono comunicare i dati di contatto al Garante privacy, attraverso l’apposita procedura online. Ciò nonostante, sono state “riscontrate diverse violazioni nella comunicazione dei dati di contatto”. Eppure, il dettato normativo è chiaro e lineare.
A questo punto o il meccanismo non funziona oppure qualche cosa nel sistema non si spiega; scopriamolo.
Il concetto di DPO nelle PA locali: dalla teoria alla pratica
La funzione del DPO è quella di affiancare titolare e responsabili del trattamento affinché i medesimi, pro quota parte, conservino i dati personali e li gestiscano correttamente secondo i dettami del GDPR, attenuando il più possibile i rischi, nel rispetto dei diritti fondamentali e le libertà delle persone fisiche/interessati.
Il DPO in teoria: tra ambizioni, soft skill e regole di sistema
Il DPO è quella figura, senza dubbio ambita sulla carta, chiamato, tra gli altri, a coadiuvare titolari e responsabili del trattamento nella gestione dei trattamenti di dati personali sì garantendo una posizione di autonomia e imparzialità.
Il DPO deve avere cognizioni tecnico-legali condite con spiccate doti comunicative meglio se assertive, e capacità organizzative dovendo riconoscere quando e come intervenire, ovvero consigliare il titolare o il responsabile accompagnandoli durante l’intero ciclo di vita dei dati personali trattati.
Ma non è tutto. Il DPO deve fare anche da facilitatore, dal momento che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.
In ambito pubblico, la nomina del DPO è obbligatoria. A stabilirlo è l’art. 37 del Regolamento in maniera esplicita, al paragrafo 3: tutte le PA sono obbligate a nominare il DPO costituendo un fondamentale riferimento atto a garantire un approccio corretto al trattamento dei dati personali. Il tutto a maggior ragione a fronte dell’esigenza via via sempre maggiore della digital trasformation delle PA.
DPO interno, DPO esterno, questo è il dilemma
E qui si apre il dilemma: DPO interno, DPO esterno?
Senza entrare nel merito della disputa sempre vivace, solo qualche considerazione si impone al riguardo.
In teoria, sarebbe meglio dotarsi di un DPO esterno per garantire appieno quei requisiti tipici di autonomia e imparzialità che la normativa impone.
In questo senso, il WP 243, offre diversi chiarimenti in materia ai quali si rinvia.
Più in generale, occorre aver riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.
Il DPO in pratica, quali errori e mancanze più comuni
Il DPO in pratica, specie in quelle realtà non solo pubbliche, che concepiscono la privacy purtroppo ancora come un adempimento, spesso seccante e costoso, fatto di carte da passare, è svilito allorché accetti, per ragioni di necessità, un incarico mal concepito; ovvero è svilente, a tutto tondo, allorquando lo assuma chi si mette a mercanteggiarlo a basso costo, pur di prendere quell’Ente.
Non solo. Anche le mancanze sono moltissime, e fin dalla nomina. Facciamo alcuni esempi concreti come:
- scegliere male affidandosi a un DPO inesperto, privo di quelle competenze richieste tra cui l’expertise di settore;
- nominare un DPO in palese conflitto di interesse;
- l’assenza di un contratto/atto/accordo scritto tra l’Ente e il DPO;
- la mancata pubblicazione dei dati di contatto del DPO scelto;
- se si cambia DPO, dimenticarsi di avvisare l’Autorità;
- assegnare ulteriori compiti al DPO che di fatto gli impediscono di svolgere bene ed efficacemente l’esercizio della sua funzione.
Naturalmente, come tutte le cose viziate a monte, difficilmente si raddrizzano a valle. In altri termini, un DPO “sbagliato” con tutta evidenza svolgerà un’attività carente, inefficace, inefficiente o inadeguata allo scopo, con quanto per conseguenza.
Il DPO nelle PA locali, un matrimonio ancora difficile
Chiediamoci come mai le PA con il focus a quelle locali, fanno ancora difficoltà a rispettare la privacy nelle sue regole basilari.
Oltre al problema del DPO, gli enti locali faticano a rispettare le regole basiche della privacy/GDPR. Proviamo a sondare tra le principali criticità, avanzando possibili soluzioni.
Già dagli albori della (nuova) normativa di cui al GDPR, e segnatamente nella Relazione 2020, il Garante iniziava con i moniti alle PA richiamandole “…ad evitare diffusioni illecite di dati personali e a contemperare agli obblighi di pubblicità degli atti e di dignità delle persone”.
Ciò saputo a seguito dei numerosi reclami e segnalazioni ricevute per pubblicazioni non autorizzate su siti web istituzionali, come ad esempio delle scuole, di dati personali riguardanti alunni e personale dipendente; e gli esempi potrebbe continuare riguardando anche altri settori (pubblici).
Tra le principali criticità di questa nuova era segnata dal GDPR, resta il fatto che la normativa in sé risulta sulla carta semplice e lineare, in pratica invece appare generica e di difficile interpretazione ai fini applicativi, tutt’altro che univoca.
La parola magica resta sempre l’analisi di “contesto”, senza il quale resta una normativa inapplicata e condensata in documenti appesi e contrari allo spirito della nuova privacy.
Visione già difficile da vedere nelle realtà aziendali, figuriamoci in quelle pubbliche, perdendo forse un’altra buona occasione.
Conclusioni
L’indagine del Garante capita in un frangente in cui già nel marzo del 2023, l’EDPB ha lanciato un enforcement sul ruolo del DPO (in generale) volto a un follow-up mirato a livello europeo. Insomma, non è più tempo di nicchiare o far finta di nulla.
D’altra parte, le sfide del digitale nella PA locale e no, parte da qui e se la situazione è grave o ferma, capiamo bene che questa inerzia/ignoranza è tanto grave quanto pericolosa per il futuro del nostro Paese che rischia di perdere o giocarsi male una partita assolutamente importante.
