GDPR, tutte le criticità delle pubbliche amministrazioni
Alla pubblica amministrazione non serve il consenso per trattare i dati. Ma la nomina del responsabile della protezione dei dati è d'obbligo sempre. E per la valutazione di impatto privacy i casi in cui un ente pubblico non è tenuto si conteranno sulle dita di una mano. Il conto alla rovescia per l'adeguamento al Regolamento generale Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018, è cominciato anche per le pubbliche amministrazioni.
Anche per questo settore ci sono alcuni punti ancora oscuri, nonostante l'approssimarsi del giorno di partenza, anche delle sanzioni. Cerchiamo, in ogni caso, i punti fermi.
Alla data del 25 maggio 2018 gli enti pubblici, tutti gli enti pubblici, devono avere nominato un Responsabile della protezione dei dati (detto anche Dpo). Molti enti sono in affanno e solo ora stanno bandendo gare per la designazione. C'è a questo riguardo una notazione: alcune gare hanno per oggetto contemporaneamente sia l'adeguamento al Gdpr sia il servizio di responsabile della protezione dei dati. Il pensiero di chi scrive è che questa impostazione sia seriamente a rischio, se si considera che lo stesso soggetto dovrà sia adeguare l'ente al Gdpr sia sorvegliare sull'avvenuto adeguamento (cioè controllare se stesso in palese conflitto di interessi).
Si consiglia, in questi casi, agli enti appaltanti di verificare il problema del conflitto di interessi, prima di scrivere bandi a oggetto plurimo (adeguamento al Gdpr e servizio di Dpo), per evitare nomine illegittime e conseguenti sanzioni; in contemporanea si consiglia ai partecipanti, a fronte di bandi così articolati, di rivolgere una richiesta di chiarimenti all'ente appaltante per sollevare la questione ed evitare brutte sorprese.
Ma ci sono questioni aperte anche per l'ipotesi di nomina di dipendenti interni come Dpo. E sono sempre connesse al requisito di autonomia e indipendenza. Il responsabile della protezione dei dati deve rispondere direttamente al vertice dell'ente senza superiori gerarchici.
Si pensi all'ipotesi di un dipendente comunale che ricopra il ruolo di «posizione organizzativa» (siglato PO, simile a un «quadro» nel settore privato), che ha come superiore gerarchico un dirigente di un determinato settore: se la «PO» è nominata responsabile della protezione dei dati, deve avere un rapporto diretto con la giunta e con il sindaco senza il filtro del dirigente del settore. Questo aspetto deve essere regolato esplicitamente in un apposito atto di designazione, che assicuri al Responsabile della protezione dei dati libertà di movimento, anche avendo riguardo al fatto che deve poter «fare le pulci» ai suoi colleghi e superiori.
Quanto alla possibilità di svolgere altre funzioni, si deve richiamare la regola generale: queste altre funzioni non devono impedire al Dpo di fare le sue attività (per le quali deve avere tempo e risorse) e non devono condizionarlo (non deve essere il sorvegliante di se stesso).
Nei comuni, per esempio, ci si chiede se il segretario comunale possa fare il Dpo: applicando le regole del Gdpr la risposta è negativa, considerato che il segretario ha anche compiti gestionali e di coordinamento dei dirigenti. Peraltro considerato il rischio che si finisca a non trovare, soprattutto negli enti piccoli e medi, un soggetto idoneo, sarà opportuno che il Garante o le associazioni dei comuni diano indicazioni di dettaglio con eventuale apertura a certe condizioni per figure interne. In questo caso a prevalere saranno urgenze di fatto più che ragioni di stretto diritto.
Per esempio si possono prevedere aree «grigie» come il controllo di gestione che più di altre appaiono vicine alla funzione del Dpo.
Sempre per gli enti pubblici ci sono, tra gli altri, due aspetti da segnalare. Il primo riguarda il registro del trattamento e il secondo i cosiddetti responsabili esterni.
Quanto al primo va ricordato che c'è un solo registro da compilare ed è quello disciplinato al paragrafo 1 dell'articolo 30 (quello del paragrafo 2 riguarda i responsabili esterni del trattamento).
Quanto ai responsabili interni del trattamenti (da non confondere con i responsabili della protezione dei dati), si deve partire dalla descrizione della situazione attuale. Molti enti, se non tutti, hanno fatto la scelta di nominare responsabili del trattamento tutti i dirigenti dei singoli settori. A questo proposito si devono dire cose molto semplici: 1) il Regolamento Ue prevede solo i responsabili esterni; 2) è possibile (anzi, per chi scrive, consigliabile in realtà complesse) individuare delegati interni cui attribuire specifici compiti (anche se è meglio non chiamarli responsabili interni, per evitare confusione).
Quest'ultima regola è scritta anche nella bozza nota di decreto legislativo di armonizzazione della legislazione italiana al Gdpr (in scadenza al 21 maggio 2018). Sempre a quest'ultimo decreto è agganciata la sorte dei regolamenti sui trattamenti dei dati sensibili, di cui si sono dotati tutti gli enti pubblici in questi anni e che non si sa ancora se varcheranno o no il Rubicone.
Fonte: Italia Oggi del 30 aprile 2018 - Articolo a cura di Antonio Ciccia Messina