L’AUTOREMAGGIOLI EDITORE - La Gazzetta degli Enti Locali
Il Data Protection Officer (DPO) nelle PA: sanzioni e responsabilità per gli Enti locali
I martedì della cybersecurity/ Analisi (concreta) della nuova figura emersa con il recente sviluppo della normativa sulla privacy
di LUISA DI GIACOMO*
Abbiamo già discusso, nel corso di questa rubrica, dell’importanza che gli Enti locali dovrebbero riservare alla “questione privacy”, ovvero l’adeguamento obbligatorio di tutti gli Enti Locali al Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”): lungi dal trattarsi di un inutile balzello burocratico, la normativa sulla protezione dei dati può al contrario portare efficienza e miglioramento all’interno dell’Ente.
Non solo. Innanzi tutto, sottovalutare questa legge potrebbe costare molto caro, non solo per l’importanza intrinseca dei dati, ma anche per l’impianto sanzionatorio che il GDPR porta con sé:
– sanzioni amministrative fino a 20 milioni di Euro (art. 83 GDPR);
– responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).
Abbiamo anche chiarito in più di un articolo come non si tratti di una mera responsabilità dell’Ente, in quanto è riconosciuta la responsabilità erariale in tutti i casi in cui la mancata adozione delle misure di sicurezza adeguate abbia determinato un risarcimento al privato danneggiato.
Ed infine, una virata decisa degli Enti Locali verso la digitalizzazione, la cybersecurity e un impianto di sicurezza dei dati resiliente ed a prova di intrusioni, oltre ad essere in linea con la legge e potente strumento di accountability coincide con gli interessi centrali che allocano larghissima parte dei fondi del PNRR proprio in questi campi.
Tra i più importanti strumenti che a una PA sono concessi per fare fronte alla “rivoluzione cibernetica” che tutti i Comuni dovranno, prima o poi, affrontare, c’è quello della nomina del DPO, il Data Protection Officer, la nuova figura prevista dall’art. 37 del Regolamento.
Si tratta di una figura professionale altamente specializzata, che deve possedere requisiti specifici ed in particolare una preparazione ed una formazione adeguata nei temi della data protection e della cybersecurity. Il suo ruolo sarà quello di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale.
Attenzione: i DPO non rispondono personalmente in caso di inosservanza della normativa, in quanto la responsabilità ricade sempre sul Titolare.
In base al principio di accountability non è sufficiente nominare formalmente un DPO, magari scelto a caso tra i dipendenti dell’Ente, per aver adempiuto alla norma. La figura del DPO funge da raccordo tra Titolare e Interessati e tra Titolare e Garante e quanto più sarà competente e preparata, tanto più sarà difficile che il Titolare incorra in responsabilità.
Se nominato internamene il DPO non potrà coincidere con l’ufficio preposto alle politiche di data protection e cybersecurity. Se nominato esternamente, oltre ad avere diritto ad un equo compenso ed essere supportato con risorse umane e finanziarie adeguate per svolgere il suo compito, non deve essere trattato alla stregua di consulente. Il DPO fa un mestiere, il consulente privacy ne fa un altro, e controllore e controllato difficilmente possono coincidere.
>> Leggi anche Guida agli adempimenti su data protection e cybersecurity: sanzioni e responsabilità per gli Enti locali.
Nella sua applicazione pratica, la nomina del DPO incontra una serie di intoppi che rendono questa figura fondamentale per la sicurezza dell’Ente cui è preposta, poco più di un figurante che, quando va bene, per lo meno sa che cosa succede all’interno del proprio Comune di nomina e, quando invece va davvero male, non viene nemmeno ricevuto dai dirigenti amministrativi.
Non esiste un albo, non esiste un elenco, non ci sono requisiti specifici o percorsi di studio che devono essere obbligatoriamente seguiti: in sostanza, si è DPO solo quando si è DPO, ovvero quando si riceve almeno una nomina. Vi sono sul mercato moltissimi corsi per preparare i futuri DPO e molti di essi sono davvero buoni, ma non bisogna confondere il fatto che questi corsi insegnino le materie con cui, in futuro, il DPO si dovrà confrontare, con il fatto che attribuiscano la qualifica di DPO, che, di fatto, non esiste.
Il possesso di determinati requisiti, come già ampiamente chiarito dal Garante (nota del 28.7.17 e FAQ del 15.12.17) non costituisce prova del possesso delle competenze necessarie, ed è compito del Titolare del trattamento, ovvero dell’Ente pubblico, verificare che queste competenze siano effettivamente esistenti in capo al soggetto prescelto, ad esempio verificando gli incarichi pregressi, ma formazione, oppure conducendo un colloquio approfondito ed adeguato.
Peraltro, nulla vieta di nominare un DPO interno all’Ente, ma anche in questo caso la prassi è quella di trovare un tapino a cui scaricare il fardello, piuttosto che individuare un soggetto altamente competente su cui fare affidamento per una materia così delicata ed importante.
Attenzione alle nomine di un DPO in conflitto di interessi. Poiché ruolo del DPO è quello di consigliare, assistere il Titolare, ma anche di supervisionare che il Regolamento sia correttamente applicato e di fungere da punto di contatto tra il Titolare e gli interessati, e tra il Titolare e il Garante, non possono e non devono essere nominati DPO dirigenti dell’Ente, segretari comunali, direttori amministrativi: insomma, non può essere DPO nessuno che ricopra funzioni dirigenziali ed abbia potere decisionale in seno all’ente, proprio perché controllore e controllato non possono coincidere in una unica figura.
Evidentemente dotati di un dono di ubiquità, che invece sfugge ai comuni mortali, i DPO in questi quattro anni, ovvero dall’entrata in vigore del GDPR nel maggio 2018, non solo sono emersi come funghi, ma altresì hanno fatto incetta di incarichi: alcuni soggetti sono arrivati ad avere nomine anche in 200 Comuni, tra l’altro situati ai quattro capi del Paese, cosa che rende non difficile, ma proprio impossibile svolgere il proprio incarico con un minimo di competenza, anche se si dispone di un team di supporto: basta applicare un po’ di matematica elementare per averne la prova.
Il nemico da combattere, in questo caso, è duplice: da un lato dovrebbe essere il Titolare, una volta verificate le credenziali del suo prossimo DPO, a rifuggire un soggetto già talmente ricco di incarichi da lasciare presagire, al di là di ogni più rosea previsione, l’impossibilità di acquisirne di nuovi.
Dall’altro, tuttavia, non è sempre e solo responsabilità del DPO: i compensi stabiliti per queste figure sono spesso bassi ai limiti dell’offensivo: dai 300 ai 1000 euro annui per svolgere un incarico così fondamentale e determinante per il corretto approccio dell’Ente alla protezione dei dati. L’offerta (e l’accettazione) di cifre risibili fa purtroppo capire che ancora molta strada c’è da fare per arrivare ad una piena consapevolezza; e se il DPO, specie se all’inizio della propria carriera, è portato ad accettare un incarico “purchè sia” perché fa curriculum, sta al Titolare, che in ultima analisi risponde della propria accountability, gestire nomine e compensi in maniera più responsabile. Responsabilità che, a giudicare dai criteri di aggiudicazione delle gare del MEPA, dove l’unico requisito che sembra contare è l’offerta economicamente più vantaggiosa, sembra essere piuttosto carente.
Concludiamo ricordando che la sanzione per l’Ente che violi le disposizioni inerenti la nomina del DPO e in generale gli artt. 37, 38, 39 del GDPR può arrivare fino a 2.000.000 euro: tanto potrebbe costare approssimazione ed incompetenza all’Ente che desideri risparmiare. E forse, tra 1.000 euro annui e 2.000.000 di sanzione, c’è ampio spazio per giungere ad una soluzione di mediazione, che metta in sicurezza i dati dell’Ente e renda giustizia alla fondamentale figura professionale del Data Protection Officer.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
www.lagazzettadeglientilocali.it