Il Data Protection Officer nelle PA
Su Agenda Digitale è stato pubblicato l’approfondimento “DPO di un ente pubblico: qualifica e requisiti”, a firma di Michele Iaselli. “Un unico DPO supportato da un ufficio o da diversi referenti - si legge nell’abstract - sembra la soluzione migliore per le esigenze degli enti pubblici. Cosa prevede la normativa, le questioni legate all’incompatibilità e al conflitto d’interesse, il tema delle certificazioni”.
“Alla luce delle prime esperienze applicative del GDPR - scrive Iaselli in apertura - si rafforza la convinzione che, specialmente nelle realtà organizzative più complesse, sia necessario strutturare un ufficio o comunque un gruppo di lavoro che svolga la funzione di DPO contraddistinto da diverse professionalità.
Cercherò nel seguito di motivare questa mia opinione, partendo dal presupposto che la questione non è affatto semplice, in quanto bisogna tener conto anche della ridotta disponibilità dei dipendenti a svolgere tale attività sicuramente complessa e poco remunerativa e che il Regolamento europeo non fornisce specifiche indicazioni in merito alla qualifica richiesta al dipendente pubblico per svolgere la funzione di DPO.
Il complesso dei compiti assegnati al DPO
È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.
In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”.
Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
La scelta di un DPO interno
Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno, secondo il Garante sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Lo stesso dipendente dovrà naturalmente avere una specifica conoscenza della normativa in materia di protezione dei dati personali, dei sistemi informativi e di aspetti organizzativi-manageriali.
Inoltre alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più DPO.
Un solo DPO con più figure di supporto
Al riguardo, si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.
Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.
Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO, anche, se del caso, operando quali componenti del suo gruppo di lavoro.
Attualmente, difatti, risulta che molti Ministeri come anche le agenzie fiscali abbiano optato per l’adozione di un unico DPO a livello centrale sebbene supportato da uno specifico gruppo di lavoro. Tale soluzione, per la verità, è molto rischiosa in quanto a prescindere dalle disposizioni del GDPR, indubbiamente sorgerebbero, come evidenziato in precedenza, molti problemi di carattere organizzativo legati ad articolazioni territoriali molto estese ed all’individuazione di diversi titolari del trattamento…