NEWS

Pubblica amministrazione, le ricadute alla luce del parere del Garante Privacy

Aggiornare i regolamenti dei servizi con la funzione e/o l'ufficio del Dpo (responsabile della protezione dei dati); inserire nei bandi di gara clausole specifiche sulla gestione dei conflitti di interesse del Dpo; integrare i contratti con le società di servizi che forniscono il servizio di Dpo con garanzie di autonomia per il referente destinato a questo compito. Sono alcune delle ricadute derivanti dal provvedimento del Garante della privacy n. 186 del 29 aprile 2021, dedicato a designazione, posizione e compiti del Dpo in ambito pubblico. Il documento in molti punti fornisce indirizzi che necessitano interventi di dettaglio nei singoli enti, come evidenziato nella tabella in pagina. Vediamo, dunque, come è possibile muoversi per scongiurare ispezioni e sanzioni.

Enti pubblici alla prova privacy

Regolamento degli uffici - La funzione di Dpo è strutturale e, quindi, bisogna tenerne conto in tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici. Questa è la sede per esplicitare le ragioni delle scelte a proposito della soluzione dei possibili conflitti di interesse (chi si trova in conflitto non può essere nominato) così come per individuare i criteri di scelta, le garanzie di autonomia e indipendenza, le ripercussioni a proposito di rapporti di gerarchia o di staff della nomina di un dipendente dell'ente, la posizione nell'organigramma dell'ente stesso, la durata dell'incarico e le eventuali modalità di rotazione.

Scelte organizzative -  Il dilemma è come evitare conflitti di interesse sia quando si sceglie un interno sia quando si incarica un esterno. Il Garante individua le ipotesi a forte rischio, ma non sempre esprime dei no secchi. Questo significa che se opta per l'opzione rischiosa, l'ente pubblico deve necessariamente premunirsi delle giustificazioni poste a base della scelta e, soprattutto, e deve avere disciplinato come gestire il possibile conflitto di interessi. Si prenda l'esempio della nomina come Dpo di una società esterna che già fornisca un servizio all'ente. La nomina di questa società è caldamente sconsigliata, ma non è esclusa in assoluto. Se si opta per la nomina bisogna motivare questa scelta e queste motivazioni devono fare appello non soltanto alla professionalità dell'operatore, ma anche alle cautele a presidio della autonomia e indipendenza della funzione di Dpo. Questo significa scrivere nel contratto con la società una serie di clausole cautelative quali: la assicurazione che nell'organizzazione della società esterna le attività di Dpo vengano svolte da un soggetto che non svolge mansioni di fornitura di altri servizi; le tutele del referente da eventuali atti ritorsivi o negativi da parte del suo datore di lavoro in considerazione dell'attività svolta come Dpo dell'ente; continuità dell'attività del referente Dpo a prescindere dalle vicende della fornitura dell'altro servizio. Oltre a tutto ciò bisogna anche prevedere alcune prescrizioni per gestire il conflitto di interesse quando diventa attuale. Ad esempio bisogna prevedere l'obbligo a carico del Dpo di comunicare all'ente ogni evenienza che metta in dubbio la sua autonomia, l'obbligo di astenersi da atti e condotte in conflitto di interessi, le modalità per il subentro di altri quando non sia possibile risolvere il conflitto.

Gare - Nella scelta del Dpo esterno l'ente pubblico applica le regole stabilite dal codice dei contratti pubblici e deve indicare i requisiti di partecipazione e i criteri di selezione. Il provvedimento del Garante evidenzia la necessità di usare molta cautela. Sono, infatti, illegittime le cause di esclusione dalla partecipazione in relazione al mancato possesso di un titolo abilitante e ciò per la semplice ragione che non c'è un titolo abilitante specifico per il servizio di Dpo: non si può, ad esempio, riservare la partecipazione a una determinata categoria professionale o a soggetti muniti di certificazione volontaria delle competenze. Ma se questo è semplice (basta non inserire clausole restrittive), il problema è come individuare i criteri di valutazione delle offerte presentate e come pesare i diversi parametri. Possono essere parametri derivanti da titoli studio, professionali, certificazioni, di esperienza in posizioni analoghe o di esperienza rispetto allo specifico ambito di appartenenza dell'amministrazione. Altro elemento su cui dovrà esercitarsi la discrezionalità della stazione appaltante è la durata del servizio (i tre anni indicati sul punto dal garante della privacy sono un periodo di massima e non un vincolo) e il compenso. L'individuazione di un certo numero dettagliato di adempimenti specifici può aiutare a calibrare la cifra posta a base della gara.

Fonte: Italia Oggi del 28 maggio 2021 - di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Il ruolo del datore di lavoro e del medico competente nell'ambito del Covid-19
Next Violazioni del Gdpr, sono oltre 600 le sanzioni inflitte nell'Ue da inizio anno

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy