pubblica amministrazione

Responsabile della protezione dei dati nella PA: gli errori che frenano l’efficienza

Accumulo di troppi incarichi in capo a una sola persona, missioni di durata troppo breve e compenso risibile, possibili conflitti di interesse dei designati a tale carica. La corsa ai DPO innescata dall’entrata in vigore del Gdpr ha creato una serie di storture, figlie di problemi di ordine culturale. Come rimediare

Pubblicato il 31 Ago 2022

Cristiano Pivato

Data & Privacy Specialist

privacy

Con l’entrata in vigore del Regolamento Europeo sulla protezione dei dati (Gdpr) vi è stata, da parte di tutte le Pubbliche Amministrazioni, una vera e propria corsa alla nomina del Data Protection Officer che ha provocato una serie di corto circuiti che hanno finito per svilire una delle figure più importanti, se non la più importante, introdotte dal GDPR.

Prima di procedere ad analizzare le storture che questa corsa ai DPO ha creato, nonché a riflettere su eventuali possibili soluzioni, si rende necessario un brevissimo excursus su questa figura che, a questo punto, tutti avremmo dovuto imparare a conoscere.

Protezione dati, il Gdpr è ancora “incompiuto”: gli strumenti per garantirne la piena efficacia

Chi è il DPO e cosa fa

Il Responsabile della protezione dei dati deve essere obbligatoriamente nominato (art. 37. comma 1 GDPR) se il trattamento è effettuato da un’autorità pubblica e se l’attività principale del titolare del trattamento o del responsabile del trattamento consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala ovvero di categorie particolari di dati (art. 9 e 10 del GDPR) su larga scala.

I compiti che lo stesso è chiamato a svolgere sono elencati dell’art. 39 del GDPR e principalmente sono quelli di informare, fornire consulenza, vigilare, fornire pareri e cooperare con l’autorità di controllo fungendo anche da punto di contatto.

Inquadrata, a grandi linee, la figura in esame si rende necessario sottolineare che, soprattutto all’interno degli Enti pubblici, la nomina di detta figura è stata compromessa da tutta una serie di storture che si sono venute a creare.

Le storture che hanno compromesso la figura del DPO

Uno dei principali problemi ha riguardato l’individuazione delle qualifiche professionali che un soggetto deve possedere per poter ricoprire detto ruolo (art. 37 comma 5 GDPR). Infatti, moltissime Pubbliche Amministrazioni, ignorando la matrice normativa del Regolamento Europeo sulla protezione dei dati, hanno tradotto il concetto di “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” in possesso di specifici titoli di studio, generalmente laurea in Giurisprudenza o Economia, ovvero in iscrizioni a determinati albi professionali, solitamente quello degli avvocati.

Tuttavia, il possesso di determinati requisiti, come più volte riportato dal Garante (Nota del 28.07.17 e Faq del 15.12.17), non comprova il possesso delle competenze necessarie per lo svolgimento di questa delicata funzione. Spetta, infatti, al soggetto pubblico valutare le qualità professionali e il possesso delle conoscenze specialistiche necessarie a ricoprire il ruolo di DPO verificando, a titolo di esempio, le attività formative svolte e le esperienze lavorative pregresse.

L’accumulo di troppi incarichi da Data Protection Officer e durata degli incarichi

Un’altra distorsione che si è creata riguarda l’accumulo di numerosissimi incarichi da Data Protection Officer in capo ad un solo soggetto, addirittura dislocati sull’intero territorio nazionale e a moltissimi chilometri dalla sede del professionista, con la conseguenza di rendere oggettivamente impossibile l’adempimento dei compiti di supporto al Titolare.

Un’altra questione che inevitabilmente sta finendo per svilire la figura del Data Protection Officer è la durata degli incarichi, quasi sempre annuali, e i compensi, in molte occasioni risibili (personalmente ho visto bandi con compensi quantificati in poche centinaia di euro).

Sul punto si rende necessario precisare che, pur rimanendo in capo alla Pubblica Amministrazione la valutazione sulla congruità della durata dell’incarico, al fine di permettere al professionista di conoscere adeguatamente l’organizzazione dell’ente ed attuare le misure necessarie, la durata dell’attribuzione non dovrebbe essere inferiore ai tre anni, come più volte riportato dall’Autorità Garante. Analogamente, la remunerazione dovrebbe essere proporzionata alle competenze specialistiche richieste, in quanto, una corresponsione eccessivamente bassa comporta un inevitabile diminuzione della qualità del servizio. Infatti, una retribuzione esageratamente ridotta comporta un inevitabile abbassamento delle qualifiche e un conseguente accumulo di incarichi.

Un incarico in conflitto d’interesse

Da ultimo, in molte circostanze la nomina a DPO è stata conferita a soggetti in palese conflitto di interesse in ragione del ruolo apicale ricoperto all’interno dell’Ente pubblico. A titolo di esempio personalmente ho visto nominare segretari generali, responsabili del settore Affari Generali, Direttori amministrativi, ecc.

Per dovere di completezza si precisa che la figura del DPO risulta essere incompatibile con tutte quelle figure che posseggono poteri decisionali attraverso i quali possono definire le finalità e le modalità di trattamento dei dati.

Ancora una volta dovrebbe essere la Pubblica Amministrazione a valutare le situazioni caso per caso contemperando la mancanza di fondi con la necessità di rendere la funzione di DPO effettiva e reale. Sul punto si richiama un recentissimo provvedimento dell’Autorità Garante (Provvedimento n. 174 del 12 maggio 2022 n. 174).

Conclusioni

In conclusione, si può evidenziare un trait d’union tra tutte le problematiche poc’anzi riportate. Infatti, appare evidente che la pietra angolare da cui sono sorte tutte queste storpiature è la ridotta propensione di spese degli Enti pubblici e la bassissima importanza che viene attribuita alla protezione dei dati e di conseguenza alla figura del Data Protection Officer.

Purtroppo, non è facile individuare una soluzione che possa porre fine all’annacquamento della figura del DPO all’interno delle Pubbliche Amministrazioni perché, fondamentalmente è un problema culturale e sociale.

L’unica strada percorribile è quella di aumentare la consapevolezza al fine di rendere la protezione dei dati non più un inutile orpello burocratico ma un baluardo di responsabilità, progresso e reputazione.

Forse ci vorranno degli anni, o forse serviranno delle sanzioni esemplari, ma quello che conta è continuare a divulgare, formare e sensibilizzare sul tema protezione dei dati personali.

In ogni caso, sino a quando nelle Pubbliche Amministrazioni continuerà a prevalere il principio dello “spendere il meno possibile” e del conferire gli incarichi a chi costa meno la qualità e le qualifiche saranno sempre sconfitte dall’approssimazione e dall’incompetenza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati