DPO nella Pubblica Amministrazione


L’entrata in vigore del GDPR per la Pubblica Amministrazione ha determinato la riorganizzazione degli uffici, tenendo conto della necessità di garantire la protezione dei dati personali in una struttura spesso molto ramificata in ambito territoriale. È fondamentale dunque fare la scelta giusta per il DPO. Due sono le strade percorribili: individuare una figura interna che possa assumere il ruolo di Data Protection Officer, oppure affidare ad un Data Protection Officer esterno il servizio di responsabile della protezione dei dati.

In questo articolo ci addentreremo nell’argomento per capire come occorre muoversi nei meandri della Pubblica Amministrazione per la scelta del Data Protection Officer e quali sono gli errori da evitare per non incorrere in sanzioni amministrative e penali.

Indice:

Chi è il DPO nella pubblica amministrazione

La formazione

Errori più frequenti da evitare

Le sanzioni

Chi è il DPO nella pubblica amministrazione

 

Il DPO, figura storicamente presente già in alcune legislazioni europee, è un professionista che nella pubblica amministrazione, come nelle aziende private, deve avere molteplici competenze: prima di tutto giuridiche – ma anche informatiche, di risk management e di analisi dei processi – che devono essere svolte in autonomia ed indipendenza. La sua attività principale è di osservare, valutare e organizzare la gestione del trattamento dei dati personali e la protezione, affinché siano trattati nel rispetto delle normative privacy europee e nazionali.

  • Interno o esterno, una scelta importante

Il primo quesito da sciogliere è proprio questo: meglio adottare una soluzione interna o affidarsi ad una figura esterna? In realtà non esiste una regola precisa da seguire, pertanto la situazione è per così dire a macchia di leopardo, ci sono pubbliche amministrazioni che pescano tra le risorse interne, ed altre che invece preferiscono esternalizzare il compito di controllo e di protezione dei dati personali.  Per esperienza personale posso dire che le aziende pubbliche di una certa dimensione solitamente optano per una risorsa interna per una questione di continuità, mentre le piccole realtà scelgono di esternalizzare per avere una figura più abituata a trattare le norme sulla privacy e spesso operative su più realtà – anche 20 o 30 PA – diventando di fatto degli specialisti.

  • Caratteristiche del DPO nella Pubblica Amministrazione

Il DPO di solito è un dirigente o una prima linea amministrativa al quale affidare l’incarico di Data Protection Officer, pertanto deve essere un soggetto che non abbia conflitto di interessi. Nelle grandi amministrazioni pubbliche, già dotate di una funzione di privacy al loro interno, è stato naturale transitare verso il nuovo regolamento e trasformare quella figura in Data Protection Officer. Nelle piccole amministrazioni invece questo passaggio non è stato possibile e nella maggior parte dei casi è stato preferibile affidare il ruolo ad un esterno, facendo un bando pubblico ed appaltando il servizio di Data Protection Officer seguendo la normativa del GDPR.

 

  • Requisiti

Il Data Protection Officer deve essere, prima di tutto, un soggetto culturalmente preparato in particolare in ambito giuridico.  Nello specifico deve:

  • conoscere la normativa privacy italiana
  • essere preparato sulle prassi operative del Garante Privacy
  • avere dimestichezza con le leggi in tema di Pubblica Amministrazione
  • conoscere la norma sulla trasparenza dei dati amministrativi
  • sapere di accesso civico
  • conoscere le norme sulla sicurezza informatica minime garantite di AGID
  • avere un ruolo dirigenziale (se interno)

È importante sottolineare che nella Pubblica Amministrazione quando si parla di DPO si intende in realtà un team di professionisti (sia interni che esterni) specializzati in diversi ambiti e che insieme assolvono tutti i compiti richiesti al DPO. In questo modo il lavoro corale risulta più efficace. Il DPO dovrà quindi creare un gruppo di lavoro e farsi affiancare da altre funzioni.
(es. IT, HR, ecc.).

  • Costi per la PA

L’acquisizione di un DPO per la Pubblica Amministrazione ha generato un costo non indifferente che va a gravare sul bilancio della stessa. Per le grandi strutture le cifre vanno da 50 a 100 mila euro l’anno.  Quelle più piccole si aggirano da 3 a 5 mila euro l’anno.

 

La formazione

 

formazione DPO, Labor Project

 

 

La norma non dice che il Data Protection Officer debba avere particolari studi, pertanto si può formare con percorsi differenti. Ad oggi c’è un vasto panorama formativo disponibile, dove le scelte più praticate sono:

  • master universitari
  • corsi di alta specializzazione tenuti da società specializzate nella privacy
  • percorsi offerti da associazioni come Asso DPO

In tutti i casi – ha puntualizzato il Garante della privacy – questi percorsi formativi, pur essendo un valido strumento ai fini della verifica del possesso di livello minimo di conoscenza in tema di privacy, non equivalgono ad una abilitazione allo svolgimento del ruolo di DPO e neppure possono sostituire il giudizio rimesso alle amministrazioni nella valutazione dei requisiti.

  • La durata

I corsi di formazione hanno una durata variabile, da alcune giornate fino a sei mesi, a seconda del livello di approfondimento del tema trattato. Ciò che è importante da sottolineare, è la continuità che non deve mai venire meno, infatti si parla formazione continua. Al riguardo lo stesso Garante della privacy sta facendo incontri sul territorio per informare come devono essere applicate le norme in tema di formazione nella PA.

  • Una certificazione italiana

Sulla carta chi acquisisce il titolo di DPO in Italia può esercitare anche all’estero, ma di solito non lo fa chi opera nella Pubblica Amministrazione. Infatti, nella PA chi ricopre il ruolo di Data Protection Officer in Italia, lo fa solo nel nostro Paese, perché la normativa italiana in ambito statale è preponderante rispetto all’estero, quindi nella PA è necessaria una profonda conoscenza e preparazione delle norme statali, che non si riscontra altrove.

 

 

Errori più frequenti da evitare

 

Come diventare Data Protection Officer

 

 

Quello più frequente oggi – a cui stiamo cercando di porre rimedio – è di mettere in capo al DPO tutta l’attività di compliance e privacy della Pubblica Amministrazione, ovvero il soggetto designato è DPO e pure consulente. Pertanto, il DPO fa tutto: dalla informativa, alla valutazione d’impatto, alla gestione di data breach e quindi alla fine i Data Protection Officer sono vinti dall’ordinaria amministrazione e non riescono a svolgere l’attività di vigilanza e supervisione che dovrebbe invece essere il primo compito.

  • Come porre rimedio

L’autorità Garante sta cercando di affermare questo tema, così come le associazioni che si adoperano per sensibilizzare le PA rispetto a quello che è il reale ruolo del DPO, facendo incontri presso le Pubbliche Amministrazioni.

Le sanzioni

Sanzioni GDPR | Labor Project

 

 

Quando il DPO commette degli errori vengono commisurate alle Pubbliche Amministrazioni delle sanzioni che possono andare fino a 20 milioni di euro.

  • La responsabilità

È in capo al titolare del trattamento, ma se si tratta di mancanza del Data Protection Officer, nella Pubblica Amministrazione c’è obbligo di rivalsa.

  • Principio di rivalsa

Dal momento che vige il principio di rivalsa nella Pubblica Amministrazione, il DPO innanzitutto deve avere una buona copertura assicurativa. Nel caso invece esista dolo, per aver mancato i suoi doveri di sorveglianza, vigilanza e quant’altro, avrà anche una responsabilità penale.

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia