A sei anni di vigenza del GDPR, il ruolo del DPO (Data Protection Office o RPD, Responsabile per la protezione dati) nel settore pubblico rimane una questione ancora problematica che deve essere approfondita prendendo anche spunto da alcune previsioni di tenore organizzativo del D.lgs. 24/2023 afferente al whistleblowing.
La questione cardine è: posto che entità con organici limitati devono garantire tutta un serie di servizi grosso modo omogenei, l’assetto privacy richiesto presenta presumibili analogie ma può essere difficoltoso reperire e/o formare e/o manutenere competenze in un ambito di per sé specialistico.
Indice degli argomenti
La figura del DPO nelle entità pubbliche
Rielaborando dati resi disponibili da IFEL-ANCI, nel 2022 l’organico medio per un Comune italiano era di 45 elementi (con una media minima di 10 nel Molise e 17 in Val d’Aosta e una massima di 97 in Sicilia e 99 nel Lazio); nel caso dei Comuni più piccoli (quelli fino a 1.000 abitanti) l’organico di personale a tempo indeterminato in media è di circa 5 dipendenti (al 2019) che deve provvedere ai processi di gestione del Comune, nel rispetto della privacy.
Può accadere così che, di fatto, in piccole entità pubbliche, il DPO venga reperito all’esterno (per difficoltà a individuare all’interno una persona in possesso delle necessarie competenze e che non si trovi in situazioni di conflitto di interessi) e che venga impropriamente inteso come la figura che, taumaturgicamente, deve sistemare la privacy, non considerando che è in primo luogo il titolare del trattamento che deve definire l’assetto privacy della propria organizzazione, di cui il DPO deve essere un supervisore (oltre che consulente) ma senza proprie responsabilità ai sensi del GDPR e, non va dimenticato, senza poteri decisionali.
Come perseguire la normativa privacy a livello locale
Se questo è il quadro, come perseguire sostanzialmente la normativa privacy a livello locale?
Qui, per analogia, consideriamo le norme sul whistleblowing varate lo scorso anno con il D.lgs. 24/2023 di recepimento della Direttiva UE in tale materia.
Come noto, le disposizioni in esame prevedono che per la gestione del canale interno di segnalazione i comuni diversi dai capoluoghi di provincia possono condividere il canale di segnalazione interna e la relativa gestione (così come i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati non superiore a 249).
Inoltre, l’ANAC ha ritenuto applicabile questa previsione anche per le pubbliche amministrazioni e per gli enti pubblici di piccole dimensioni (meno di 50 dipendenti come per il PIAO).
Se per un processo molto delicato e riservato come il whistleblowing sono state previste (opportunamente sia in termini di costi che di gestione professionale del canale) sinergie, non si potrebbe avviare una riflessione (anche propedeutica ad una eventuale revisione del GDPR) che agevoli almeno le entità pubbliche (per il settore privato, anche piccole start-up, che operano sul web la situazione potrebbe essere diversa potendo/dovendo puntare su persone skillate sotto diversi aspetti fra cui, in primis: IT, cyber security, privacy) ad esempio pensando a forme confederative per la gestione della privacy lato titolare del trattamento?
Sempre con riferimento alle disposizioni sul whistleblowing: nel settore scolastico è l’ufficio regionale a gestire il canale interno ed è punto di riferimento per i singoli istituti scolastici.
Non si potrebbe allora almeno approfondire per l’ecosistema scolastico, ad esempio, che sia l’unità organizzativa/il personale che operi come privacy manager presso tale ufficio regionale a seguire la realizzazione dell’assetto privacy per i singoli istituti, avvalendosi di addetti locali come corrispondenti per la sua applicazione?
Certo, a norme attuali, rimarrebbe la questione della riconducibilità delle responsabilità ex-GDPR in capo ai singoli istituti piuttosto che agli uffici regionali, ma la gestione complessiva poggerebbe su un maggior livello di expertise.
Analogamente si potrebbe approfondire la praticabilità di un assetto del genere in cui l’ufficio e/o privacy manager del capoluogo di provincia funga da (co-)regista esterno (o anche solo da consulente ma a titolo diverso, ovviamente, da quello del DPO) per i comuni della provincia.
Un’analoga fattuale opportunità riviene dalla considerazione che un segretario comunale può operare per più comuni e, per questa via, cercare di omogeneizzare e adeguare alla privacy i processi di ciascun ente locale seguito, ferma restando la responsabilità in capo al singolo Comune (e, di riflesso, sul relativo vertice).
Azione del DPO parallela alla gestione privacy dell’ente
Ciò premesso, l’errore che andrebbe evitato è di pensare che per le piccole realtà pubbliche locali il RPD, magari esterno, sia la soluzione per la privacy compliance: non è così perché il ruolo del RPD è diverso, la sua azione è parallela alla gestione della privacy dell’organizzazione e non il suo motore primo.
Altrimenti si confonde il DPO (e si pretenderebbe incongruamente da lui) più di quello (del molto) che è chiamato a fare come consulente e supervisore, ruolo di pungolo e non decisore (in conflitto di interessi) sull’assetto privacy.
Per completezza occorre evidenziare che nella realtà si rilevano spunti su modalità agevolative, per le realtà pubbliche, per provvedere alle nuove disposizioni regolatorie.
Conclusione
La materia della privacy è complessa e comporta articolate responsabilità che per le realtà minori – specie quelle pubbliche che trattano molteplici dati personali – può essere non agevole impostare e realizzare.
Forme di associativismo possono rappresentare una percorribile soluzione, quantomeno in ambito pubblico.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.
