Nonostante siano trascorsi cinque anni dalla piena applicabilità del GDPR e sette dall'entrata in vigore del regolamento, numerosi enti locali non hanno ancora provveduto a nominare un Responsabile della Protezione dei Dati (DPO). Questo ritardo ha spinto il Garante per la Protezione dei Dati Personali ad avviare un'indagine approfondita per verificare il rispetto dell'obbligo di comunicazione dei dati di contatto del DPO, iniziando dagli enti di grandi dimensioni che effettuano trattamenti rilevanti di dati personali.

L'Indagine del Garante sugli Enti Locali

Nella newsletter del 26 maggio 2023, il Garante ha annunciato l'avvio di un'indagine nei confronti dei grandi enti locali per accertare il rispetto dell'obbligo di comunicare i dati di contatto del Responsabile della Protezione dei Dati (RPD o DPO). Questa attività di controllo mira ad adottare interventi specifici nei confronti degli enti di grandi dimensioni che effettuano trattamenti di dati personali significativi per qualità e quantità.
Il Garante ha sottolineato che, in linea con il Regolamento UE, i soggetti pubblici come amministrazioni statali, regioni, province, comuni, università, camere di commercio e aziende del Servizio Sanitario Nazionale sono obbligati a designare un RPD, ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni.

Violazioni nella Comunicazione dei Dati di Contatto

Nonostante l'obbligo normativo chiaro e lineare, il Garante ha riscontrato diverse violazioni nella comunicazione dei dati di contatto dei DPO designati. Questa situazione evidenzia la necessità di un'azione decisa per garantire la conformità al GDPR e tutelare i diritti fondamentali e le libertà delle persone fisiche interessate.

Il Ruolo del DPO negli Enti Pubblici

La funzione del DPO è cruciale per affiancare i titolari e i responsabili del trattamento, garantendo che i dati personali siano conservati e gestiti correttamente secondo i principi del GDPR. Il DPO deve attenuare i rischi e promuovere il rispetto dei diritti fondamentali e delle libertà degli interessati.

Competenze e Requisiti del DPO

Il DPO ideale dovrebbe possedere un mix di competenze tecniche, legali e comunicative. Deve avere conoscenze approfondite in materia di protezione dei dati personali, nonché capacità organizzative e di problem-solving per riconoscere quando e come intervenire, consigliando e accompagnando il titolare o il responsabile durante l'intero ciclo di vita dei dati personali trattati.
Inoltre, il DPO funge da facilitatore, fungendo da punto di riferimento tra l'ente pubblico e l'Autorità Garante per la Protezione dei Dati Personali.

DPO Interno o Esterno?

Un aspetto cruciale nella nomina del DPO è la scelta tra un professionista interno o esterno. Teoricamente, un DPO esterno potrebbe garantire maggiore autonomia e imparzialità, come suggerito dalle Linee Guida del Gruppo di Lavoro Articolo 29 (WP 243). Tuttavia, la decisione dipende dalla struttura organizzativa, dalle dimensioni e dalle attività specifiche dell'ente pubblico.

Errori e Mancanze Comuni nella Nomina del DPO

Nonostante l'importanza del ruolo del DPO, numerosi enti pubblici commettono errori e mancanze nella sua nomina e gestione, come:

• Scegliere un DPO inesperto, privo delle competenze richieste e dell'expertise di settore.
• Nominare un DPO in evidente conflitto di interessi.
• Assenza di un contratto o accordo scritto tra l'ente e il DPO.
• Mancata pubblicazione dei dati di contatto del DPO designato.
• Omettere di avvisare l'Autorità Garante in caso di cambio del DPO.
• Assegnare ulteriori compiti al DPO che ne ostacolano l'efficace svolgimento delle sue funzioni.

Questi errori possono compromettere l'efficacia del DPO e minare la conformità dell'ente pubblico al GDPR, esponendolo a potenziali sanzioni.

Le Sfide della Privacy negli Enti Locali

Gli enti locali affrontano diverse sfide nel rispettare le regole basilari della privacy e del GDPR, oltre alla nomina del DPO. Tra le principali criticità figurano:

• Diffusioni illecite di dati personali sui siti web istituzionali, come ad esempio dati di alunni e personale scolastico.
• Difficoltà nell'interpretazione e applicazione pratica del GDPR, spesso percepito come generico e non univoco.
• Mancanza di un'analisi contestuale adeguata, che porta a un'applicazione superficiale della normativa.

Per affrontare queste sfide, è fondamentale adottare un approccio olistico che consideri il contesto specifico di ogni ente locale e promuova una cultura della privacy basata sulla consapevolezza e la formazione continua.

L'Importanza della Conformità al GDPR

L'indagine del Garante e l'enforcement dell'EDPB sul ruolo del DPO sottolineano l'importanza di una piena conformità al GDPR. La mancata nomina del DPO non solo rappresenta una violazione normativa sanzionabile, ma compromette anche la tutela dei diritti fondamentali e delle libertà dei cittadini.
Gli enti pubblici locali svolgono un ruolo cruciale nella gestione di dati personali sensibili e devono essere all'avanguardia nel garantire la protezione dei dati e la trasparenza dei processi. La nomina di un DPO qualificato e la sua effettiva integrazione nei processi decisionali sono passaggi essenziali per raggiungere questo obiettivo.

Conclusioni

La sfida della nomina e della gestione efficace del DPO negli enti pubblici locali richiede un impegno costante e una visione a lungo termine. È necessario superare l'inerzia e l'ignoranza che hanno caratterizzato l'approccio di molti enti verso la privacy, abbracciando invece una cultura della protezione dei dati basata sulla consapevolezza, la formazione e il rispetto delle norme.
Solo attraverso un cambiamento culturale e un'attenzione costante alle best practice in materia di protezione dei dati personali, gli enti pubblici locali potranno svolgere un ruolo di primo piano nella trasformazione digitale del Paese, garantendo al contempo il rispetto dei diritti fondamentali dei cittadini.