Vecchia opaca burocrazia 1, Gdpr 0. E’ il bilancio di tre mesi di monitoraggio su amministrazioni pubbliche, dal Nord al Sud, alle prese con l’adeguamento al Gdpr e in particolare la scelta del Dpo. L’hanno fatto un Ente di Formazione, accreditato dal Ministero della Giustizia, e uno studio legale (i risultati saranno prossimamente pubblicati).
Descrive un quadro desolante della “prassi” posta in essere da una percentuale troppo alta di amministrazioni pubbliche che, senza distinzioni, dal profondo sud, passando per il centro e fino al profondo Nord, manifestano tutti i tradizionali vizi di una burocrazia locale informata non al principio di legalità, trasparenza e buon andamento ma alla filosofia del manuale Cencelli dei “mandarini” e “capibastoni” locali che nel malinteso principio di autonomia locale trasformano le amministrazioni in centri di anarchia locale.
L’occasione della ricerca è stata l’entrata in vigore, il 25 maggio scorso, del Gdpr al quale obbligatoriamente tutte le Pubbliche amministrazioni si sono adeguate essendo il Regolamento UE 2016/679 esecutivo ex se in tema di nomina del Data Protection Officer, il Responsabile alla protezione dei dati delle persone fisiche. La normativa prevede, per l’ipotesi di violazioni, gravi sanzioni tra 20 milioni di euro e il 4% del fatturato. Com’è noto il servizio di adeguamento al GDPR tramite la nuova figura del professionista che è nominato come responsabile alla protezione dei dati (RDP), consiste nell’attività di informazione e di consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD. Inoltre il DPO è chiamato a sorvegliare sull’osservanza del RGPD e delle altre disposizioni nazionali o dell’UE relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresa l’attribuzione delle responsabilità, per la sensibilizzazione e la formazione del personale che partecipa ai trattamenti.
L’obbligo DPO
Il DPO, quindi, nella sua attività di consulenza ed assistenza fornisce pareri in merito alla valutazione d’impatto sulla protezione dei dati, ha compiti di sorveglianza, ed è chiamato a cooperare con il Garante Nazionale privacy del quale costituisce l’interfaccia per l’amministrazione. Tutte queste competenze e funzioni come si avrà modo di osservare attengono alla tipica figura del giurista, iscritto in un ordine regolamentato, con conoscenze informatiche in relazione alle sue esperienze curriculari di diritto amministrativo e di funzionamento della pubblica amministrazione centrale e locale.
La selezione
Per la selezione di questo professionista l’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 recante: “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini”, dispongono la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.
Ora questi piattaforme di e-procurement sono ben presenti nel nostro ordinamento in quanto Consip (Società di intera proprietà del ministero delle finanze) consente l’acquisto dei relativi sevizi attraverso il MEPA sia in forma negoziata che diretta, a livello locale per semplicità di accesso vanno, poi, segnalate le piattaforme ARCA SINtel della Regione Lombardia e alla quale fanno un massiccio ricorso le amministrazioni della Regione Lombardia, così come la Piattaforma START della Regione Toscana e il CSI della Regione Piemonte.
Le piattaforme di e-procurement
Rispetto a questa pluralità di piattaforme di e-procurement troppe amministrazioni fanno ricorso ai sistemi tradizionali, poco trasparenti e vietati, tanto che la discrezionalità spesso si trasforma in vera e propria arbitrarietà. Così è il caso di un’amministrazione di una Regione del Sud che richiede per il servizio di DPO, ed adeguamento al GDPR, l’iscrizione al servizio di formazione professionale della Regione stessa, o quella di un importante Comune della Regione Lazio che richiede come requisito la partecipazione a Master, senza alcuna specificazione, e ammette un neolaureato che ha solo l’attestato di frequenza ad un “Master” di poche ora, escludendo il docente che ha tenuto il Master e corsi per un Ente di Ricerca Nazionale in materia di ITC. Infine, va segnalato anche il caso di un importante Unione del profondo nord-est che dopo aver acquisito il servizio sul MEPA ripete la gara perché per il “politico locale di turno” i candidati partecipanti alla gara non erano di suo gradimento e per trasparenza (sic).
La revisione del codice degli appalti, la semplificazione e la tipizzazione dei bandi sulle piattaforme di e-procurement resta l’unica via obbligata da consigliare al nuovo governo per efficientare la spesa pubblica. Il ministro Tria pare essere in linea con questa consapevolezza che sarà il prossimo banco di prova sul quale il governo misurerà la corrispondenza tra il dire e il fare.
