Data protection officer, un ruolo problematico da svolgere per gli enti pubblici in tempi di Coronavirus. Che vedono accelerare la produzione di ordinanze e provvedimenti amministrativi spesso centrati sulla gestione di dati personali. Analizziamo lo stato dell’arte e le condotte più corrette da mantenere per procedure allineate al GDPR.
Interventi d’urgenza del DPO
Il Dpo nella PA viene raramente coinvolto nelle fasi preliminari di adozione di un provvedimento che riguarda il trattamento dei dati personali già in tempi di “pace” finendo, al contrario, per essere contattato d’urgenza soltanto quando bisogna rimediare ad una situazione sfuggita di mano.
Ai tempi del Coronavirus, poi, soprattutto quando taluni primi cittadini sembrano voler assumere i connotati di “sceriffo anticontagio”, tale dinamica può portare a risultati pericolosi che un buon RPD ha l’obbligo di prevenire e scongiurare assumendo un ruolo proattivo nel rapporto con l’istituzione.
È fuori di dubbio che l’emergenza sanitaria provocata dalla diffusione del Covid-19 abbia portato in prima linea i Sindaci della nostra penisola i quali hanno messo in campo tutte le risorse possibili per provare a contrastare il propagarsi della pandemia, subendo una sovraesposizione mediatica figlia dell’era dell’informazione liquida.
La comunicazione di tutte le iniziative intraprese, infatti, facilitata dagli strumenti tecnologici, si è propagata come l’onda di un sisma per tutto lo stivale (ma anche al di fuori dei confini nazionali) favorita dai meccanismi di interazione e diffusione delle notizie tipiche dei social media.
È in queste piazze virtuali elette ancora una volta a terreno privilegiato di (dis)informazione nonché di incontro tra amministratori e cittadini che:
- il dialogo istituzionale si è intessuto alternando iniezioni di speranza e vicinanza alla comunità a vere e proprie invettive;
- si sono raccontate le scelte amministrative;
- le iniziative sono diventate “virali” rimbalzando di cellulare in cellulare per tutta la penisola.
Era dai tempi della primavera araba che le notizie non si diffondevano così rapidamente nella comunità. Alzi la mano chi non ha visto almeno un filmato con protagonista un Sindaco, impegnato ad invitare i propri concittadini a rispettare le restrizioni, a ritornare nelle proprie abitazioni ecc.
Tra questi, poi, hanno avuto massima visibilità quei messaggi dal linguaggio colloquiale (se non addirittura colorito) con i quali si sono ammoniti gli indisciplinati e si sono raccontate le ineluttabili conseguenze connesse al lavoro clandestino di estetiste e parrucchieri e la pericolosità connessa agli incontri tra giocatori di briscola.
Il confine fra privacy e salute
Al netto, quindi, di qualche evidente caduta di stile e folklore locale, il tempo della quarantena da Covid-19 sarà anche ricordato come quello della più alta produzione (e sovrapposizione) di provvedimenti amministrativi di necessità e urgenza. Terreno sul quale si sono fronteggiati ed inseguiti i primi cittadini dell’Italia dei Comuni quasi in una gara senza esclusioni di colpi tentando di mettere il proprio vessillo sull’Ordinanza più creativa, restrittiva ed efficace per contrastare la diffusione della pandemia.
Il punto è che non tutto ciò che può sembrare utile per contrastare la diffusione del contagio è realizzabile in un paese democratico. Prima di arrivare, infatti, alle scansioni indiscriminate della temperatura, alla somministrazione coatta di test sierologici rapidi o alla ricerca della miglior applicazione possibile per il tracciamento dei contatti, va tracciato un percorso graduale di legittimità incanalato in una procedura politica e amministrativa stabilita.
Ed è proprio nella fase della redazione di tali atti amministrativi (e ordini di servizio) che dovrebbe insinuarsi il lavoro di quei soggetti che al riparo dei riflettori mediatici e con le difficoltà del lavoro “agile” provano ad assicurare che misure straordinarie di limitazione della privacy e della libertà fondamentali si mantengano nei limiti della proporzionalità e della temporaneità: i DPO.
Il Responsabile per la protezione dei dati negli enti locali è chiamato, infatti, in questo contesto emergenziale più che mai, ad assumere un ruolo proattivo di difesa dei seppur limitati diritti degli interessati con particolare attenzione a quelli che risultando positivi al virus patiscono loro malgrado sia le conseguenze della malattia sia le paure ferine degli altri cittadini.
Proattivo perché l’art. 38 comma 1 del Regolamento (UE) 679/2016 che dovrebbe disciplinare la necessarietà del coinvolgimento del DPO, è presumibilmente uno dei più disapplicati del GDPR già nelle situazioni di normale amministrazione (è più facile rivolgersi al proprio consulente/controllore in conseguenza di un problema o dopo aver già preso una decisione impattante sul trattamento dei dati personali che in via preventiva).
Cosa può fare un DPO d'”emergenza”
Come può, quindi, un Responsabile per la protezione dei dati interpretare efficacemente i propri compiti in un contesto assolutamente fuori dall’ordinario? O, più nella pratica, cosa ci si aspetta debba fare il DPO di un Comune per tutelare i dati personali di tutti gli interessati all’indomani di una pandemia?
La mia “ricetta” comprende 4 passaggi ed è applicabile anche in “smart working”.
- Telefonare – Le decisioni adottate negli Enti locali soprattutto nei giorni immediatamente successivi ai DPCM dei primi giorni di marzo, sono state necessariamente molto rapide. Non hanno potuto beneficiare della normale dialettica politica e sono arrivate al termine di giornate concitate al di fuori dei soliti orari lavorativi (nonché nei fine settimana). In questa frenesia è normale che possa essere sfuggito di integrare nei processi decisionali anche il proprio Responsabile per la protezione dei dati.
Quest’ultimo ha, però, il dovere di sorvegliare l’osservanza del Regolamento e il modo più veloce per essere aggiornati sulle decisioni già prese o farsi preannunciare quelle immaginate, è proprio quello di entrare in contatto diretto con i vertici dell’Ente.
In tali occasioni può però essere difficile contattare il rappresentante legale dell’Ente. Suggerisco, pertanto, di considerare come contatto privilegiato il Segretario Comunale. Questi, in quanto punto di riferimento e figura di garanzia, risulta essere mediamente più sensibile alle tematiche della compliance.
La telefonata deve avere lo scopo specifico di chiedere esplicitamente cosa è stato fatto, pensato ed immaginato nonché quali misure tecniche ed organizzative sono state messe in atto per tutelare gli interessati. Attraverso una semplice chiamata, ad esempio, ho chiesto lumi sulle modalità di lavoro agile implementate all’interno degli enti e sulle relative misure di sicurezza informatica.
- Sfruttare gli strumenti online (monitorare l’Albo pretorio, dirette streaming, i social e la stampa). Gli obblighi di trasparenza ai quali sono soggetti gli enti pubblici non vanno in pensione nemmeno ai tempi del Covid-19. Controllare l’Albo on-line rappresenta una delle forme più efficaci e semplici di controllo da parte del DPO e costituisce parte integrante della sua attività routinaria. Ogni ordinanza, provvedimento, deliberazione o determinazione trova il suo spazio in quel luogo virtuale permettendoci di essere aggiornati sulle disposizioni più recenti e di poter esercitare le nostre prerogative in tempi ragionevoli.
Talvolta, però, qualcosa può sfuggirci (decorsi ad esempio i termini di pubblicazione) o trattandosi di un controllo ex post, potrebbe risultare tardivo o inefficace. Come si può, allora, nel silenzio del Titolare provare ad intervenire prima che un provvedimento sia adottato? Anche in questo caso la tecnologia ci viene incontro fornendoci tutti gli strumenti di cui abbiamo bisogno per inserirci con i tempi giusti nelle procedure.
L’importanza dei consigli comunali
I consigli comunali, ad esempio, anche quelli tenuti a distanza in virtù delle limitazioni conseguenti alla diffusione della malattia da coronavirus vengono trasmessi on-line e spesso sono anche registrati e rinvenibili nelle pagine dell’Ente. Possono altresì costituire interessanti campanelli d’allarme le dichiarazioni espresse sulle pagine social istituzionali e gli articoli della stampa locale rinvenibili ormai facilmente nel web. Pur non trattandosi di canali per così dire ufficiali, saper leggere il dibattito politico di una comunità monitorando i canali informativi può fare enorme differenza.
Personalmente, ad esempio, mi è capitato di intervenire con urgenza in un Ente per aver appreso casualmente su di un canale Telegram della dichiarazione di un Sindaco di voler esporre in pubblica piazza alcuni soggetti colpevoli di aver violato il “Codice della Strada” inconsapevoli di essere ripresi dalle telecamere della videosorveglianza urbana, notizia riportata anche dalla stampa locale.
- Scrivere. Sebbene l’obbligo di comprovare il rispetto del Regolamento sia posto in capo al Titolare del trattamento, utilizzare la forma scritta per dare suggerimenti e pareri o porre le proprie domande può aiutare a risalire la catena delle responsabilità e risultare un valido ausilio di comprensione delle dinamiche intercorse tra DPO ed Ente. Ricordiamoci sempre: scripta manent!
- Mediare. La parte più difficile. Quella che richiede un corposo numero di soft skills ad accompagnare la conoscenza approfondita della materia: la capacità di mediazione. La tutela dei diritti fondamentali dell’uomo impone di bilanciare esigenze diverse e talvolta contrastanti tra di loro.
Oggi si tratta di sacrificare (almeno in parte) il diritto alla libertà degli spostamenti e alla privacy per permettere alle istituzioni di garantire il diritto alla salute.
Non significa, però, che tutti i diritti debbano arrendersi all’emergenza. In questo caso il nostro compito sarà quello di chiedere in virtù del principio di finalità quale sia lo scopo della restrizione e contestualmente invitare il Titolare del trattamento ad adottare misure che siano proporzionali e indirizzate a raggiungere quel fine. A volte si dovrà cedere, altre volte si riuscirà ad ottenere la miglior soluzione possibile. E chissà che tra un’ordinanza contingibile e urgente e un ordine di servizio interno, tra un video postato sui social e un’interlocuzione con l’ANCI qualcuno si accorga della dignità del ruolo del Responsabile per la protezione dei dati.
