(www.diritto24.ilsole24ore.com) – La giurisprudenza ha chiarito che il profilo è quello di un giurista, più che di un tecnico-informatico e sebbene il complesso intreccio di norme in materia di protezione dei dati non lo preveda espressamente, il ruolo di DPO in ambito pubblico implica di fatto il riconoscimento, spesso ancora sottovalutato, di importanti funzioni di controllo dei procedimenti amministrativi, e conseguenti responsabilità, svolte in totale autonomia ed indipendenza.
1.- I requisiti richiesti nella P.A.: giurista, prima ancora che informatico.
Il tema dei requisiti professionali del DPO in ambito pubblico solo recentemente è stato affrontato dalla giurisprudenza, seppur soltanto sotto il profilo della scelta di un soggetto esterno.
Nel tempo si sono diffusi sistemi di attestazione delle competenze professionali offerti da enti certificatori in modo volontario. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del GDPR) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.
Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una abilitazione allo svolgimento del ruolo del DPO né, allo stato, sono idonee a sostituire il giudizio rimesso alle amministrazioni nella valutazione dei requisiti necessari per svolgere i compiti previsti dall’art. 39 del GDPR, come ha chiarito il Garante per la Protezione dei Dati Personali.
Se nel settore privato la scelta del DPO è riservata all’esclusiva discrezionalità dell’azienda, che può optare per il fornitore esterno che preferisce o selezionare tra i suoi dipendenti come meglio crede quello ritenuto più idoneo sulla base di un giudizio insindacabile, negli enti pubblici essa è sottoposta alla rigorosa osservanza delle norme in tema di appalti e personale dipendente. Infatti, da un lato il D.Lgs. 50/2016 impone il rispetto dei principi irrinunciabili di economicità, efficacia, tempestività e correttezza in tema di affidamenti di appalti di servizi e dall’altro il D.Lgs. 165/2001 non consente di prescindere dai ruoli e funzione del personale in cui si articola l’organizzazione del singolo ente.
La sentenza del TAR Friuli Venezia Giulia – sede di Trieste n. 287/2018, , costituisce un importante precedente, che delinea il profilo professionale del DPO nella pubblica amministrazione, sradicando ogni fantasiosa e futura diversa interpretazione ed indentificandolo quale soggetto con prevalenti competenze di natura giuridica, prima ancora che tecnico-informatiche.
I giudici friulani, infatti, hanno chiarito che «in sede di conferimento, ai sensi dell’art. 7, D.Lgs. n. 165 del 2001, dell’incarico di responsabile della protezione dei dati personali, la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni, secondo la norma ISO/IEC/27001, non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle relative funzioni, il cui esercizio presuppone la minuziosa conoscenza e l’applicazione del Regolamento Ue 2016/679 e della complessiva disciplina di settore, (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo».
2.- Dal ruolo di supervisore a quello di controllore dei procedimenti amministrativi.
La normativa vigente consente l’assegnazione al DPO di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6) e che gli consentano di avere comunque a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dalla legge (art. 38, par. 2).
A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al DPO, come suggerito dal Garante per la Protezione dei Dati Personali, non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.
In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl).
In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di DPO al responsabile per la prevenzione della corruzione e per la trasparenza, figura espressamente prevista dalla L. 190/2012, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti.
Un tema particolarmente delicato, poi, in ambito pubblico, riguarda i possibili conflitti di interessi in cui possa incorrere il DPO. Infatti, le ulteriori funzioni allo stesso assegnate non devono consentirgli di definire le finalità e modalità del trattamento dei dati.
Ciò si traduce nella possibilità che, oltre che per i casi di ruoli manageriali di vertice, possano sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posti in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
Riguardo agli ulteriori compiti e funzioni in capo al DPO, particolare attenzione, dunque, andrebbe prestata nei casi di unico DPO tra molteplici autorità pubbliche e organismi pubblici, nonché in quelli di DPO esterno, qualora questi svolga ulteriori compiti che comportino situazioni di conflitto di interesse oppure quando non sia in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio, l’aggiudicatario dovrà fornire opportune garanzie per assicurare efficienza e correttezza e prevenire conflitti di interesse.
Alcune organizzazioni complesse hanno richiesto al Garante per la Protezione dei Dati Personali di valutare la possibilità di designare più DPO, ma questi ha segnalato che in linea di massima l’unicità di questa figura è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.
Nulla osta, invece, secondo il Garante per la Protezione dei Dati Personali, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un soggetto interno, sia che questa ricada su uno esterno.
Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO, che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni da questi impartite, anche, se del caso, operando quali componenti del suo gruppo di lavoro.
In definitiva, l’articolazione complessa e radicata di molti enti, l’ampiezza della platea di cittadini coinvolti dai provvedimenti da questi assunti e soprattutto la natura degli interessi stessi che vengono messi in gioco davanti alla pubblica amministrazione pone chi, come il DPO, è deputato a sorvegliarne la conformità dei procedimenti amministrativi alle nome in materia di protezione dei dati in una posizione di fatto di controllo dei procedimenti stessi.
3.- I necessari atti amministrativi di designazione ed il loro contenuto essenziale.
Una volta selezionato il DPO, l’ente pubblico deve adottare un apposito atto amministrativo di nomina avente efficacia costitutiva. Tanto si ricava anche dall’art. 37, par. 1, del GDPR, che prevede che il titolare e il responsabile del trattamento designino il DPO.
Nel caso in cui la scelta del DPO ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto d’appalto redatto in base a quanto previsto dal citato art. 37 del RGPD.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti, eventualmente anche ulteriori a quelli previsti dall’art. 39 del GDPR, e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Nell’atto di designazione o nel contratto di servizi è opportuno che risultino anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio cardine di responsabilizzazione dettato dal Regolamento Ue 679/2016.
Ma il processo post selettivo non termina qui. Un’ulteriore normativa, infatti, interviene a differenziare gli adempimenti conseguenti la nomina del DPO in ambito pubblico, rispetto a quello privato. Si tratta del D.Lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».
Una volta individuato, infatti, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del DPO, pubblicando gli stessi anche sul siti web dell’amministrazione e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del DPO nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente ai sensi del D.Lgs n. 33/2013.
Come chiarito nelle Linee guida del WP29, in base all’art. 37, par. 7, non è necessario, anche se potrebbe costituire una buona prassi in ambito pubblico, pubblicare anche il nominativo del DPO, mentre occorre che sia comunicato al Garante per la Protezione dei Dati Personali per agevolare i contatti con l’Autorità. Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).
Da quanto sopra emerge chiaramente che nell’ambito degli enti pubblici, che nella maggior parte dei casi trattano un’elevata quantità di dati personali, spesso anche di natura sensibile, di cittadini/utenti, oltre che dei dipendenti interni, il ruolo di DPO implica una competenza trasversale in ogni settore dell’attività dell’amministrazione, che va dalla erogazione dei servizi in favore dell’utenza agli appalti, dalla gestione del personale dipendente alla pubblicazione dei dati sul sito web istituzionale.
Nel contesto legislativo sopra delineato, nel quale le norme in materia di protezione dei dati si intrecciano con quelle che governano i superiori interessi tutelati dalla pubblica amministrazione, il ruolo del Data Protection Officer attrae in se una molteplicità di poteri, che, seppur non espressamente attribuitigli, vanno ben al di là del compito di sorveglianza tradizionalmente svolto in ambito privato.
Infatti, per un verso, per l’ampiezza del raggio operativo d’azione riconosciutogli e, per un altro verso, per la delicatezza e complessità dei compiti attribuitigli, svolti per di più in una posizione di completa autonomia, diversamente dal settore privato, ove, tanto in qualità di dipendente quanto in quella di esperto esterno, esegue una prestazione tutto sommato consulenziale, in ambito pubblico il DPO finisce con l’assumere di fatto un ruolo di vero controllore dei procedimenti amministrativi, con l’attribuzione di poteri sostanziali, che probabilmente sono andati oltre la volontà del legislatore.
