Sono trascorsi sei anni dall'entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) e il ruolo del Responsabile della Protezione dei Dati (DPO) nel settore pubblico rimane ancora una sfida da affrontare. Questo articolo esplora le sfide e le opportunità legate alla figura del DPO nelle amministrazioni pubbliche, con particolare attenzione alle realtà di dimensioni più ridotte, e propone possibili soluzioni per garantire una efficace gestione della privacy a livello locale.

La Complessità del Ruolo del DPO nelle Pubbliche Amministrazioni

Le pubbliche amministrazioni, soprattutto quelle di dimensioni più contenute, si trovano ad affrontare una serie di sfide nell'implementazione della figura del DPO. Secondo i dati resi disponibili da IFEL-ANCI, nel 2022 l'organico medio di un Comune italiano era di 45 dipendenti, con una media minima di 10 nel Molise e 17 in Val d'Aosta, e una massima di 97 in Sicilia e 99 nel Lazio. Nei Comuni più piccoli, quelli fino a 1.000 abitanti, l'organico medio di personale a tempo indeterminato è di circa 5 dipendenti. Questa esiguità di risorse umane rende particolarmente complesso individuare all'interno dell'organizzazione una figura con le competenze necessarie per ricoprire il ruolo di DPO, senza incorrere in situazioni di conflitto di interesse.

Esternalizzazione del Ruolo di DPO: Vantaggi e Criticità

Di fronte a questa difficoltà, molte piccole amministrazioni pubbliche scelgono di esternalizzare la figura del DPO, affidandosi a professionisti esterni. Questa soluzione, seppur praticabile, presenta alcune criticità. Innanzitutto, il DPO esterno potrebbe essere erroneamente percepito come la panacea per tutti i problemi di privacy, quando in realtà il suo ruolo è quello di consulente e supervisore, senza poteri decisionali. Inoltre, la responsabilità della compliance privacy rimane in capo al titolare del trattamento, ovvero l'amministrazione pubblica stessa, che deve definire e implementare l'assetto privacy della propria organizzazione.

Sinergie Organizzative per la Gestione della Privacy

Per superare queste sfide, è necessario esplorare soluzioni che permettano alle amministrazioni pubbliche, in particolare quelle di dimensioni ridotte, di garantire una adeguata gestione della privacy. Un possibile modello potrebbe essere ispirato alle disposizioni introdotte dal D.lgs. 24/2023 in materia di whistleblowing, che prevede la possibilità per i Comuni diversi dai capoluoghi di provincia di condividere il canale di segnalazione interna e la relativa gestione.

Il Modello del Whistleblowing come Ispirazione per la Privacy

Analogamente a quanto previsto per il whistleblowing, si potrebbe valutare l'opportunità di creare forme di associazionismo o sinergie tra amministrazioni pubbliche per la gestione della privacy. Ad esempio, si potrebbe ipotizzare che l'ufficio regionale o il privacy manager del capoluogo di provincia funga da (co-)regista esterno o consulente per i Comuni della provincia, garantendo un maggior livello di expertise e omogeneità nella gestione della compliance privacy.

Il Ruolo del Segretario Comunale nella Gestione della Privacy

Un'ulteriore opportunità potrebbe derivare dalla considerazione che un segretario comunale può operare per più Comuni. Questa figura potrebbe svolgere un ruolo chiave nel cercare di omogeneizzare e adeguare alla privacy i processi di ciascun ente locale seguito, ferma restando la responsabilità in capo al singolo Comune e al suo vertice.

Il DPO come Consulente e Supervisore, non come Soluzione Unica

È importante sottolineare che il ruolo del DPO, sia esso interno o esterno all'organizzazione, non può essere considerato come l'unica soluzione per garantire la compliance privacy. Il DPO ha il compito di agire come consulente e supervisore, senza poteri decisionali, mentre la responsabilità della gestione della privacy ricade primariamente sul titolare del trattamento, ovvero l'amministrazione pubblica stessa.

Sinergie Organizzative per la Gestione della Privacy nel Settore Scolastico

Un esempio interessante di sinergia organizzativa per la gestione della privacy potrebbe provenire dal settore scolastico. In questo ambito, l'ufficio regionale gestisce il canale interno per le segnalazioni di whistleblowing e potrebbe fungere da punto di riferimento anche per la realizzazione dell'assetto privacy dei singoli istituti scolastici, avvalendosi di addetti locali come corrispondenti per l'applicazione delle misure.

Vantaggi delle Sinergie Organizzative per la Gestione della Privacy

L'implementazione di modelli di sinergia organizzativa per la gestione della privacy nelle amministrazioni pubbliche presenta diversi vantaggi. In primo luogo, consentirebbe di concentrare le competenze specialistiche in un'unica struttura, garantendo un maggior livello di expertise e una gestione più omogenea della compliance privacy. Inoltre, questa soluzione potrebbe contribuire a ridurre i costi e gli oneri organizzativi per le singole amministrazioni, soprattutto quelle di dimensioni più ridotte.

Sfide Normative e Responsabilità nella Gestione della Privacy

Nonostante i potenziali benefici, l'adozione di soluzioni sinergiche per la gestione della privacy nelle amministrazioni pubbliche potrebbe presentare alcune sfide di natura normativa. In particolare, la questione della riconducibilità delle responsabilità ex-GDPR in capo ai singoli enti piuttosto che alle strutture di coordinamento (come gli uffici regionali o i privacy manager dei capoluoghi) dovrà essere attentamente valutata.

Il Ruolo Complementare del DPO nella Gestione della Privacy

È importante sottolineare che, anche nell'ipotesi di sinergie organizzative per la gestione della privacy, il ruolo del DPO rimane fondamentale. Il DPO, sia esso interno o esterno all'organizzazione, svolge un ruolo di consulenza e supervisione, fungendo da punto di riferimento per l'ente e contribuendo a garantire il rispetto della normativa privacy.

Conclusioni: Verso una Gestione Efficace della Privacy nelle Pubbliche Amministrazioni

In conclusione, la gestione della privacy nelle pubbliche amministrazioni, soprattutto quelle di dimensioni ridotte, rappresenta una sfida complessa che richiede un approccio innovativo e sinergico. L'esternalizzazione del ruolo di DPO, pur essendo una soluzione praticabile, non può essere considerata l'unica risposta. L'esplorazione di modelli organizzativi che favoriscano la condivisione di competenze e risorse, ispirati alle esperienze maturate in ambiti come il whistleblowing, potrebbe rappresentare una strada percorribile per garantire una gestione efficace della compliance privacy a livello locale.

Riferimenti

1. IFEL-ANCI, "Dati organico Comuni italiani", 2022.
2. D.lgs. 24/2023, "Attuazione della direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione".
3. ANAC, "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell'art. 54-bis, del d.lgs. 165/2001 (c.d. whistleblowing)", 2015.