A poco più di due anni dal fatidico 25 maggio 2018, data in cui il GDPR divenne pienamente efficace nel nostro ordinamento, la sua applicazione all’interno dei nostri confini nazionali presenta ancora (poche) luci e (tante) ombre. Accendiamo allora i riflettori, in particolare, sul DPO e sui punti deboli dei criteri di ingaggio da parte di aziende ed enti pubblici.
Vantaggi della compliance al GDPR
Partiamo da un presupposto: trasformare le regole europee in fattori di positività e completare finalmente il ciclo della “conformità” deve essere un obiettivo primario da perseguire per tutti gli attori della data protection.
Sì, perché a dispetto dell’arco temporale di poco più di due anni, infatti, sono purtroppo tutt’altro che rari i casi di scarsa attenzione, scarsa consapevolezza e scarsa cultura del rispetto degli interessati esercitato attraverso la protezione dei loro dati personali.
E seppur sia innegabile l’interesse per la materia all’interno del dibattito pubblico (si veda a proposito il tema dell’applicazione “Immuni”) o sia sotto l’occhio di tutti l’immane lavoro che sta compiendo l’Autorità garante per la protezione dei dati personali per legittimare il suo ruolo anche nei difficili momenti legati all’esplosione della pandemia (anche tra le stesse istituzioni che colpevolmente qualche volta sembrano dimenticarsi della sua esistenza e delle sue funzioni), eventi eclatanti come il Data breach dell’INPS di inizio maggio o la probabile violazione denunciata dal gruppo “LulzSeclITA” riguardante il San Raffaele manifestano in maniera evidente tutti i limiti di un sistema che troppo spesso stenta a riconoscere nella figura simbolo del GDPR, il DPO, la giusta importanza nonché il ruolo chiave di direttore d’orchestra della Data protection.
Negli enti pubblici, poi, gli aspetti critici risultano ancora più evidenti se rapportiamo la complessità della materia e le altissime competenze richieste dal Regolamento con meccanismi di selezione che anche ad occhi non troppo allenati destano qualche perplessità.
DPO interno all’organizzazione
Cominciamo ad analizzare questi meccanismi partendo dal conferimento dell’incarico di DPO all’interno dell’organizzazione.
Facendo una ricerca in tal senso non è difficile individuare (attraverso lo screening dei curricula) soggetti privi dei requisiti di cui all’art. 37 co. 5 che sono stati formalmente designati pur di onorare l’adempimento e allo stesso tempo non creare una nuova voce di spesa sulle casse dell’Ente.
Questi soggetti, magari anche volenterosi, oltre a doversi districare tra le mansioni ordinarie previste dalla propria funzione a quelle straordinarie previste dal nuovo ruolo, si trovano nella duplice (difficile) condizione di dover recuperare da un lato (o aver dovuto recuperare dal 2018 fino ad oggi) un importante gap formativo e dall’altro di attestare autorevolmente il proprio ruolo anche nei confronti dei propri diretti superiori.
Altro caso emblematico di DPO interno è quello in ragionevole sospetto di conflitto d’interesse, perché ricoprente già ruoli di responsabilità e/o perché individuato in capo a soggetti capaci di determinare in maniera autonoma le finalità del trattamento. Trattandosi di atti pubblici, partendo da una semplice ricerca con parole chiave su motore di ricerca non è difficile imbattersi in Segretari comunali, Amministratori di Sistema, Responsabili per la transizione al digitale o Responsabili dei sistemi informativi ricoprenti (tra le altre) anche la funzione di DPO.
Tra questi ultimi non sarà sfuggito ai più attenti, ad esempio, il caso dell’RPD di INPS collocato a riposo alla vigilia del Data breach che ha coinvolto l’Ente nei primi giorni di maggio e formalmente già Dirigente della “Direzione centrale organizzazione e sistemi informativi” quando nominato.
Sarebbe, poi, interessante verificare se, a dispetto del potenziale conflitto d’interesse, o mancanza di competenze specifiche, tali soggetti siano stati messi in grado di poter svolgere le funzioni previste e abbiano potuto beneficiare delle “risorse necessarie per assolvere tali compiti […] e per mantenere la propria conoscenza specialistica” secondo i dettami dell’Art. 38 co. 2 del Regolamento europeo.
Dpo in outsourcing: affidamenti diretti
La questione del potenziale conflitto d’interesse non migliora neanche se guardiamo agli affidamenti dati in outsourcing. Non è raro, infatti, trovare affidamenti diretti a società informatiche già fornitrici di servizi di gestione della sicurezza informatica, manutenzione e assistenza hardware e software, conservazione e backup dei dati, amministratrici di reti e di sistemi coinvolti, di fatto, nella necessità di controllare il proprio operato ricoprendo il duplice compito di valutato e valutatore seppur attraverso la collaborazione professionale di una persona fisica formalmente comunicata all’Autorità garante.
Corollario dell’affidamento diretto è il fenomeno del DPO low-cost. Aziende o professionisti che operano sul mercato proponendo il proprio servizio come Responsabile per la protezione dei dati a poche centinaia di euro. In questo caso, appare ovvio che, per garantire il prezzo molto basso del servizio e allo stesso tempo la sostenibilità del business, il professionista (o la società che ricoprirà l’incarico) è costretto a diventare un “collezionista di incarichi” arrivando a gestire un numero superiore di Enti di quelli che potrà effettivamente gestire e offrendo (nel migliore dei casi e cioè quando erogherà effettivamente il servizio) un processo di standardizzazione del lavoro che mal si concilia con la “sartorialità” richiesta dal Regolamento.
I Dpo di questo genere difficilmente vivono gli Enti da cui sono stati nominati e vengono spesso identificati come gli “omini delle informative“.
Altro problema di non poco conto spesso associato al fenomeno del DPO low-cost è che tali condizioni di lavoro vengono accettate da soggetti non molto esperti nelle tematiche della Data protection alimentando il curioso fenomeno delle consulenze richieste dagli RPD nei gruppi Facebook o Telegram dedicati al GDPR (guardare per credere).
Dpo in outsourcing: procedure di gara
Altra procedura tipica di individuazione del DPO (basta farsi un giro sulla piattaforma acquisti della pubblica amministrazione per trovare esempi concreti in tal senso) è la gara al massimo ribasso. Procedura nella quale il prezzo minore prevale sulla professionalità, competenze tecniche, qualità di chi partecipa alla competizione.
Seppur specificatamente prevista nel codice degli appalti (almeno nell’ultima revisione) per gli affidamenti al di sotto della soglia comunitaria, anche in questo caso non è difficile comprendere che una aggiudicazione basata unicamente sul prezzo mal si concili con le prestazioni e la professionalità che la normativa privacy richiede e al contrario sia spesso riconducibile ad una minore qualità del servizio che fa ricadere sugli interessati il costo in termini di (scarsa) protezione dei dati personali.
Il DPO richiesto dalla norma: best practice
Al fianco di queste forme distorte, fortunatamente, il variegato mondo degli Enti pubblici è riuscito a produrre altrettanti esempi virtuosi di selezione che hanno puntato sulle competenze oggettive e/o sul criterio più soddisfacente dell’offerta economicamente più vantaggiosa con robusti capitolati tecnici che hanno favorito la partecipazione di veri professionisti nonché la costituzione di team di supporto al lavoro del DPO capaci di verticalizzare tutte le competenze richieste dalla normativa senza rinunciare ad un compenso adeguato alle professionalità richieste.
Tali procedure dovrebbero essere formalmente incentivate nelle istituzioni perché non si possono proteggere i sistemi informativi allo scopo di tutelare i soggetti deboli (e gli interessati del trattamento lo sono) senza pensare di attrarre le migliori professionalità presenti sul mercato. E tali professionalità, lo sappiamo, non accettano di ragionare in termini di servizi scadenti e prezzi bassi.
