Il Garante Privacy all’attacco degli Enti locali: verifiche a tappeto sui data protection officer (DPO)
di LUISA DI GIACOMO*
Nel giorno del quinto compleanno del Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (il famoso, o per alcuni famigerato, GDPR – General Data Protection Regulation, che è entrato in vigore il 25 maggio 2018), l’Autorità Garante per la Protezione dei dati Personali ha comunicato, nella sua ultima newsletter, di avere avviato una indagine per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto dei DPO da parte degli Enti locali.
Quando il trattamento dei dati personali è effettuato da soggetti pubblici, infatti, è obbligatorio designare la figura del Data Protection Officer, che può essere soggetto interno o esterno all’organizzazione, e i dati di contatto del medesimo devono essere comunicati al Garante della Privacy attraverso l’apposita procedura online, al fine di garantire che l’Autorità possa contattare il DPO in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.
Questa iniziativa si colloca nella più ampia azione svolta dal Garante (non solo nel nostro Paese, ma a livello europeo) di verifica delle effettive competenze dei DPO, al fine di scongiurare i fenomeni di incetta di incarichi al minor prezzo possibile e di attestare che il DPO nominato abbia effettivamente le caratteristiche di preparazione, imparzialità e conoscenza della materia che sono richieste dalla normativa.
Abbiamo già scritto in passato dell’importanza del ruolo svolto dal DPO negli Enti pubblici per rendere effettivo il principio di accountability, ed anche al fine di evitare le pesantissime sanzioni che il GDPR porta con sé, che si dividono in sanzioni amministrative fino a 20 milioni di euro (art. 83 GDPR) e responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR). Peraltro, su questo punto si è recentemente pronunciata la Corte di Giustizia europea, stabilendo che anche i danni di lieve entità (se dimostrati) possono essere oggetto di risarcimento.
I rischi per gli Enti locali sono davvero elevati ed è quindi bene farsi trovare preparati. Nell’ottica di praticità di questa rubrica, che si intitola per l’appunto DPO in pillole, rivediamo brevemente chi è e che cosa fa il DPO e quali sono le caratteristiche e i compiti che egli o ella deve avere.
Si tratta di una figura professionale altamente specializzata, che deve possedere requisiti specifici ed in particolare una preparazione ed una formazione adeguata nei temi della data protection e della cybersecurity. Il suo ruolo sarà quello di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale, nonché di fungere da raccordo tra gli enti titolari e il Garante della Privacy (da qui l’obbligo di comunicazione).
Attenzione: i DPO non rispondono personalmente in caso di inosservanza della normativa, in quanto la responsabilità ricade sempre sul Titolare.
In base al principio di accountability non è sufficiente nominare formalmente un DPO, magari scelto a caso tra i dipendenti dell’Ente, per aver adempiuto alla norma. La figura del DPO funge da raccordo tra Titolare e Interessati e tra Titolare e Garante e quanto più sarà competente e preparata, tanto più sarà difficile che il Titolare incorra in responsabilità.
Se nominato internamene il DPO non potrà coincidere con l’ufficio preposto alle politiche di data protection e cybersecurity. Se nominato esternamente, oltre ad avere diritto ad un equo compenso ed essere supportato con risorse umane e finanziarie adeguate a svolgere il suo compito, non deve essere trattato alla stregua di consulente. Il DPO fa un mestiere, il consulente privacy ne fa un altro, e controllore e controllato difficilmente possono coincidere.
Il DPO nominato dall’Ente deve essere comunicato al Garante attraverso una apposita, semplice procedura guidata, che si trova a questo link: https://servizi.gpdp.it/comunicazionerpd/s/.
Attraverso lo stesso link è possibile procedere alla revoca o alla rettifica del DPO. È necessario conoscere i dati del DPO che si sta per nominare, e la nomina deve essere effettuata dal Titolare in persona del suo legale rappresentante pro tempore (il sindaco).
La preparazione del DPO
Non esiste un albo, non esiste un elenco, non ci sono requisiti specifici o percorsi di studio che devono essere obbligatoriamente seguiti: in sostanza, DPO è chi il DPO fa (per citare un vecchio e famoso film), cioè ci si può fregiare di questo titolo solo se si svolge in effetti questo ruolo in almeno un Ente.
Ci sono sul mercato moltissimi corsi per preparare i futuri DPO e molti di essi sono davvero buoni, ma non bisogna confondersi: i corsi insegnano le materie con cui, in futuro, il DPO si dovrà confrontare, non attribuiscono la qualifica di DPO, che, di fatto, in linea meramente teorica non esiste, in quanto non si tratta di un titolo (come quello di avvocato), ma di una funzione.
Il possesso di determinati requisiti, come già ampiamente chiarito dal Garante (nota del 28.7.17 e FAQ del 15.12.17) non costituisce prova del possesso delle competenze necessarie, ed è compito del Titolare del trattamento, ovvero dell’Ente pubblico, verificare che queste competenze siano effettivamente esistenti in capo al soggetto prescelto, ad esempio verificando gli incarichi pregressi, ma formazione, oppure conducendo un colloquio approfondito ed adeguato.
Il conflitto di interessi
Attenzione alle nomine di un DPO in conflitto di interessi.
Poiché ruolo del DPO è quello di consigliare, assistere il Titolare, ma anche di supervisionare che il Regolamento sia correttamente applicato e di fungere da punto di contatto tra il Titolare e gli interessati, e tra il Titolare e il Garante, non possono e non devono essere nominati DPO dirigenti dell’Ente, segretari comunali, direttori amministrativi: insomma, non può essere DPO nessuno che ricopra funzioni dirigenziali ed abbia potere decisionale in seno all’ente, proprio perché controllore e controllato non possono coincidere in una unica figura.
Responsabilità e sanzioni
Concludiamo ricordando che la sanzione per l’Ente che violi le disposizioni inerenti la nomina del DPO e in generale gli artt. 37, 38, 39 del GDPR può arrivare fino a 2.000.000 euro: tanto potrebbe costare approssimazione ed incompetenza all’Ente che desideri risparmiare. E forse, tra 1.000 euro annui e 2.000.000 di sanzione, c’è ampio spazio per giungere ad una soluzione di mediazione, che metta in sicurezza i dati dell’Ente e renda giustizia alla fondamentale figura professionale del Data Protection Officer.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
© RIPRODUZIONE RISERVATA
