Garante Privacy, le linee di indirizzo sul Responsabile della Protezione dei Dati nella pubblica amministrazione
Nella pubblica amministrazione stop alla incetta di nomine di Dpo (Responsabile della protezione dei dati); freno alla nomina in questo ruolo di fornitori esterni di information technology (It) e di avvocati che difendono l'ente; illegittimo riservare le gare per sceglierlo a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). Sono alcune delle indicazioni fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico», che tutte le p.a. sono obbligate a nominare (art. 37 regolamento Ue n. 2016/679 o Gdpr). Il documento, allegato al provvedimento del Garante n. 186 del 29/4/2021, dà molte indicazioni pratiche, ma numerosi aspetti rimangono ancora a carico dei singoli enti, che devono valutare il da farsi caso per caso.
Cumuli di incarichi - Vanno evitati troppi incarichi allo stesso Dpo esterno. Per prevenirli, l'ente deve considerare il numero di incarichi già ricoperti dalla società o dal professionista, la sua specializzazione; in caso di società, va valutata la disponibilità di adeguate risorse a sostegno del referente incaricato di seguire il singolo ente.
Difensore - Il garante invita tutte le p.a. a non designare un Dpo che, contemporaneamente, svolga per le medesime il ruolo di difensore in giudizio.
Fornitore It - La regola è non designare come Dpo il soggetto esterno che già fornisce servizi all'ente, con particolare riferimento al settore It. Se proprio non si può, allora l'ente deve mettere nero su bianco il perché e il Dpo deve essere scelto tra persone dell'organizzazione del fornitore che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di Dpo e gli altri servizi). L'ente comunque sceglie il referente Dpo a sua discrezione.
Conflitti di interesse - Quanto a Dpo interni, bisogna distinguere gli enti di carattere nazionale e quelli territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane o contabilità, il responsabile It o il responsabile della prevenzione della corruzione. Negli enti di minore dimensione, si deve fare un'attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se, però, si tratta di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l'astensione in caso di conflitto di interesse o cautele simili.
Gerarchia - Per garantire autonomia va preferito, per i Dpo interni, un dirigente o a un funzionario di alta professionalità. Se si opta per un funzionario, occorre l'adozione di idonee garanzie di indipendenza, considerato che il Dpo potrebbe valutare la condotta di un dirigente.
Titoli - Non si può riservare la procedura per scegliere il Dpo ai possessori di un determinato titolo, quale laurea, iscrizione ad un albo professionale, certificazione. Anche la certificazione volontaria sulla base della norma tecnica UNI 11697 è solo un elemento utile, ma non un'abilitazione aprioristica.
Referente - Se il servizio di Dpo viene affidato a una società, questa deve indicare all'ente una persona che faccia da specifico referente. Questo referente indicato dal Dpo-persona giuridica non deve necessariamente essere un suo dipendente. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all'ente qualsiasi variazione della persona fisica.
Durata - Un periodo congruo per la durata dell'incarico di Dpo è stimato intorno ai tre anni, ma sta all'ente pubblico determinarlo. Nell'affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie, bisogna rispettare il principio di rotazione.
Compenso - Il Garante non dà indicazioni sugli importi, ma invita nelle gare a non aggiudicare con il criterio del prezzo più basso.
Pubblicazione - La pubblicazione dei dati di contatto del Dpo essere effettuata sull'home page in una sezione facilmente riconoscibile e anche nella sezione dedicata all'organigramma dell'ente e ai relativi contatti. Non è necessario inserire il nome. Meglio attivare una casella ad hoc di posta elettronica per il Dpo.
Comunicazione al Garante - Al Garante bisogna comunicare i dati di contatto del Dpo e le successive variazioni (ad esempio, in caso di nomina di un differente soggetto). Il mancato aggiornamento dei dati di contatto del Dpo, tanto sul sito web dell'ente quanto nella relativa comunicazione al Garante, comporta una sanzione amministrativa.
Fonte: Italia Oggi del 25 maggio 2021 - di Antonio Ciccia Messina