Il Data Protection Officer nella pubblica amministrazione: quali problemi e soluzioni

Uno dei principali problemi è stata l’individuazione delle qualifiche professionali che un soggetto deve possedere per poter ricoprire detto ruolo (art. 37 comma 5 GDPR). Ma non è l’unico

21 Set 2022

Cristiano Pivato

Legale

Con l’entrata in vigore del Regolamento Europeo sulla protezione dei dati vi è stata, da parte di tutte le Pubbliche Amministrazioni, una vera e propria corsa alla nomina del Data Protection Officer (o Responsabile della protezione dei dati) che ha provocato una serie di corto circuiti che hanno finito per svilire una delle figure più importanti, se non la più importante, introdotte dal GDPR. Prima di procedere ad analizzare le storture che questa corsa ai DPO ha creato, nonché a riflettere su eventuali possibili soluzioni, si rende necessario un brevissimo excursus su questa figura.

Data protection officer, chi è, cosa fa

Il Responsabile della protezione dei dati deve essere obbligatoriamente nominato (art. 37. comma 1 GDPR) se il trattamento è effettuato da un’autorità pubblica e se l’attività principale del titolare del trattamento o del responsabile del trattamento consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala ovvero di categorie particolari di dati (art. 9 e 10 del GDPR) su larga scala. I compiti che lo stesso è chiamato a svolgere sono elencati dell’art. 39 del GDPR e principalmente sono quelli di informare, fornire consulenza, vigilare, fornire pareri e cooperare con l’autorità di controllo fungendo anche da punto di contatto.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Inquadrata, a grandi linee, la figura in esame si rende necessario sottolineare che, soprattutto all’interno degli enti pubblici, la nomina di detta figura è stata compromessa da tutta una serie di storture che si sono venute a creare.

Uno dei principali problemi è stato l’individuazione delle qualifiche professionali che un soggetto deve possedere per poter ricoprire detto ruolo (art. 37 comma 5 GDPR). Infatti, moltissime Pubbliche Amministrazioni, ignorando la matrice normativa del Regolamento Europeo sulla protezione dei dati, hanno tradotto il concetto di “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” in possesso di specifici titoli di studio, generalmente laurea in Giurisprudenza o Economia, ovvero in iscrizioni a determinati albi professionali, solitamente quello degli Avvocati.

Tuttavia, il possesso di determinati requisiti, come più volte riportato dal Garante (Nota del 28.07.17 e Faq del 15.12.17), non comprova il possesso delle competenze necessarie per lo svolgimento di questa delicata funzione. Spetta, infatti, al soggetto pubblico valutare le qualità professionali e il possesso delle conoscenze specialistiche necessarie a ricoprire il ruolo di DPO verificando, a titolo di esempio, le attività formative svolte e le esperienze lavorative pregresse.

Incarichi multipli

Un’altra distorsione che si è creata riguarda l’accumulo di numerosissimi incarichi da Data Protection Officer in capo a un solo soggetto, addirittura dislocati sull’intero territorio nazionale e a moltissimi chilometri dalla sede del professionista, con la conseguenza di rendere oggettivamente impossibile l’adempimento dei compiti di supporto al Titolare.

Durata degli incarichi e compensi

Un’altra questione che inevitabilmente sta finendo per svilire la figura del Data Protection Officer è la durata degli incarichi, quasi sempre annuali, e i compensi, in molte occasioni risibili (personalmente ho visto bandi con compensi quantificati in poche centinaia di euro).

Sul punto si rende necessario precisare che, pur rimanendo in capo alla Pubblica Amministrazione la valutazione sulla congruità della durata dell’incarico, al fine di permettere al professionista di conoscere adeguatamente l’organizzazione dell’ente ed attuare le misure necessarie, la durata dell’attribuzione non dovrebbe essere inferiore ai tre anni, come più volte riportato dall’Autorità Garante. Analogamente, la remunerazione dovrebbe essere proporzionata alle competenze specialistiche richieste, in quanto, una corresponsione eccessivamente bassa comporta un’inevitabile diminuzione della qualità del servizio. Infatti, una retribuzione esageratamente ridotta comporta un inevitabile abbassamento delle qualifiche e un conseguente accumulo di incarichi.

Conflitto di interessi

Da ultimo, in molte circostanze la nomina a DPO è stata conferita a soggetti in palese conflitto di interesse in ragione del ruolo apicale ricoperto all’interno dell’Ente pubblico. A titolo di esempio personalmente ho visto nominare segretari generali, responsabili del settore Affari Generali, direttori amministrativi, ecc.

Per dovere di completezza si precisa che la figura del DPO risulta essere incompatibile con tutte quelle figure che posseggono poteri decisionali attraverso i quali possono definire le finalità e le modalità di trattamento dei dati.

Ancora una volta dovrebbe essere la Pubblica Amministrazione a valutare le situazioni caso per caso contemperando la mancanza di fondi con la necessità di rendere la funzione di DPO effettiva e reale. Sul punto si richiama un recentissimo provvedimento dell’Autorità Garante (Provvedimento n. 174 del 12 maggio 2022 n. 174).

Conclusioni

In conclusione, si può evidenziare un trait d’union tra tutte le problematiche poc’anzi riportate. Infatti, appare evidente che la pietra angolare da cui sono sorte tutte queste storpiature è la ridotta propensione di spese degli Enti pubblici e la bassissima importanza che viene attribuita alla protezione dei dati e di conseguenza alla figura del Data Protection Officer.

Purtroppo non è facile individuare una soluzione che possa porre fine all’annacquamento della figura del DPO all’interno delle Pubbliche Amministrazioni perché, fondamentalmente è un problema culturale e sociale.

L’unica strada percorribile è quella di aumentare la consapevolezza al fine di rendere la protezione dei dati non più un inutile orpello burocratico ma un baluardo di responsabilità, progresso e reputazione.

Forse ci vorranno degli anni, o forse serviranno delle sanzioni esemplari, ma quello che conta è continuare a divulgare, formare e sensibilizzare sul tema protezione dei dati personali.

In ogni caso, sino a quando nelle Pubbliche Amministrazioni continuerà a prevalere il principio dello “spendere il meno possibile” e del conferire gli incarichi a chi costa meno la qualità e le qualifiche saranno sempre sconfitte dall’approssimazione e dall’incompetenza.

@RIPRODUZIONE RISERVATA
P
Cristiano Pivato
Legale
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

Articolo 1 di 3