Dpo pubblico: le dritte del Garante Privacy

Un nuovo documento del Garante Privacy fa luce su alcuni aspetti relativi ai compiti ed ai criteri di designazione del DPO nel settore pubblico.

Gli argomenti affrontati sono diversi e, tutti, già oggetto di vivaci discussioni in questi primi anni di applicazione del Regolamento Europeo sulla protezione dei dati.

Per ragioni di sintesi qui affronteremo i temi che a noi sono parsi più rilevanti.

Sui criteri di scelta del Dpo

Particolare attenzione viene posta dal garante ai criteri di selezione del Dpo. In particolare si torna sulla vexata quaestio dei titoli necessari.

Il Garante osserva come il Regolamento non richieda né il titolo di avvocato, né lo svolgimento di determinati corsi, il che fa giustizia di tutti i percorsi formativi più o meno seri nati negli ultimi anni. Le certificazioni volontarie possono essere un elemento utile per la valutazione delle competenze, che, tuttavia, precisa il Garante, possono essere dedotte anche da altri fattori, per esempio dall’esperienza nel settore della protezione dei dati oppure dai particolari incarichi ricoperti.

Non è sufficiente, pertanto, essere avvocato per ricoprire questo delicato ruolo se poi fa difetto la specifica conoscenza tecnica che un ruolo così delicato richiede. Il Garante pertanto invita le Pubbliche Amministrazioni a fare attenzione a non porre criteri discriminatori nei bandi di selezione, richiedendo requisiti che la legge non prevede.

Attenzione agli squali

Un’altra questione evidenziata e stigmatizzata dal Garante è quella delle società che, in questi anni, si sono accaparrate centinaia di incarichi senza poi essere in grado di offrire un’assistenza efficace agli Enti.

Nei procedimenti di selezione, pertanto, il Garante invita a prendere in considerazione anche tale aspetto, evitando di conferire incarichi a siffatte realtà e, quindi, a non considerare solo il criterio dell’offerta più bassa che, oltre a favorire l’accumulazione di incarichi, svilisce la qualità del servizio offerto.

Sempre nell’ottica di un’apertura del mercato, il Garante evidenzia anche come, nel caso di incarichi conferiti a persone giuridiche, non sia necessario che il ruolo sia ricoperto da un lavoratore subordinato della ditta incaricata, ben potendo questi essere a questa collegato anche da un contratto d’opera. Sintomatico il fatto che il Garante richiami a sostegno di tale assunto proprio il testo del Regolamento nella sua lingua originaria, l’inglese: “each member of the organisation exercising the functions of”

Sui conflitti di interesse

Infine si richiama le pubbliche amministrazioni a porre particolare attenzioni ai conflitti di interessi evitando quelle nomine in cui il Dpo sia individuato in un dirigente svolga compiti operativi per i quali finirebbe per essere controllore e al tempo stesso controllato.

A tal proposito si richiama l’art. 38, par. 6 secondo cui “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni.” Tuttavia, la norma prevede anche che  “il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti
e funzioni non diano adito a un conflitto di interessi”

Secondo il Garante ciò si può verificare allorché la figura individuata come DPO rivesta, all’interno dell’organizzazione dell’ente, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali (ad esempio, perché contribuisce a definire le caratteristiche del trattamento by design e by default, oppure perché le sono attribuiti potestà decisionali all’esito di trattamenti di dati personali di particolare delicatezza.

Le medesime problematiche, aggiunge il Garante, si riscontrano, con riferimento al DPO di provenienza esterna, qualora quest’ultimo sia assoggettato alle istruzioni impartite dal titolare del trattamento (ad esempio, perché sia stato da quest’ultimo designato quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento per la fornitura di un determinato servizio, ovvero perché lo rappresenti in giudizio su problematiche in materia di protezione dei dati personali.

Conclusioni

Il documento appare convincente e di taglio davvero pragmatico. In tal senso, per chi scrive, non vi sono dubbi che potrà costituire un utile strumento per gli operatori pubblici  e dare concretezza a quel principio di accountability tanto declamato in questi primi tre anni di applicazione del Regolamento, ma ancora così poco applicato.