Enti locali senza DPO: perchè le PA continuano a non rispettare l'obbligo
Il 24 maggio 2016 è entrato in vigore il GDPR e dal 25 maggio 2018 si applica pienamente. Eppure, nonostante ormai siano passati sette anni, ci sono ancora Enti locali che sono sprovvisti di un Data Protection Officer. Ma com’è possibile?
Il Garante: al via il rendiconto Comuni che non hanno un DPO
Il 26 maggio 2023, il Garante Privacy ha pubblicato una newsletter nella quale comunica che: ”avvia un’indagine nei confronti di grandi enti locali, per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati” spiegando come “questa attività di controllo interessi enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi”. Ma non solo, in questa nota il Garante ricorda anche che “per essere in linea con il regolamento Ue, quando il trattamento dei dati personali è effettuato da soggetti pubblici, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD”. Una volta scelto il proprio RDP, è obbligatorio comunicare i dati di contatto al Garante privacy, attraverso l’apposita procedura online. Ciò nonostante, sono state riscontrate moltissime violazioni in merito alla comunicazione dei dati di contatto.
Le funzioni del DPO
La funzione del DPO è quella di affiancare il titolare e responsabile del trattamento affinché i medesimi, conservino i dati personali e li gestiscano correttamente secondo le regole dettate dal GDPR. Il DPO, inoltre, deve avere cognizioni tecnico-legali, ottime capacità organizzative dovendo riconoscere quando e come intervenire. Ma non è tutto, il DPO deve anche fare da facilitatore, dal momento che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e il Garante. Infine, è fondamentale che l’ente organizzi un assessent con il DPO, altrimenti il rischio è quello di non essere a conoscenza dei dati che vengono effettivamente trattati e le procedure che si devono applicare. Secondo l’art. 37 del GDPR, la nomina del DPO per le PA è obbligatoria, anche a fronte dell’esigenza sempre maggiore della trasformazione digitale delle PA.
Dpo interno o Dpo esterno?
In teoria, sarebbe meglio dotarsi di un DPO esterno per garantire al meglio l’autonomia e l’imparzialità che la normativa impone. In linea generale, però, è consigliabile analizzare caso per caso in base alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.
Gli errori e le mancanze più comuni
Molto spesso, la figura del DPO viene scelta con superficialità, solo per adempiere alla normativa e infatti, le mancanze risultano poi moltissime a partire dalla nomina. Ecco gli errori più comuni:
• ci si affida a un DPO inesperto, privo delle competenze specifiche richieste;
• si nomina un DPO in chiaro conflitto di interesse;
• mancanza di un contratto/accordo scritto tra l’Ente e il DPO;
• non si avvisa l’autorità né quando si nomina un DPO, né quando lo si cambia;
• assegnare ulteriori compiti al DPO che di fatto gli impediscono di svolgere bene l’esercizio della sua funzione.
Come mai le PA hanno ancora difficoltà a rispettare la privacy nelle sue regole basilari?
Oltre al problema del DPO, gli enti locali faticano a rispettare le regole basiche della privacy/GDPR. Infatti, sembra che manchi una competenza di base e delle regole a monte, da quelle organizzative a quelle HR che complicano la corretta applicazione del GDPR. L’analisi del Garante capita in un frangente in cui già nel marzo 2023, EDPB ha lanciato un enforcement sul ruolo di DPO a livello europeo. È quindi giunto il momento di rimboccarsi le maniche e fare il possibile per rispettare le norme del GDPR, soprattutto perché non sia più solo un mero adempimento alla normativa, ma si capisca che è necessario per il miglior funzionamento di un Ente o di una azienda.