Approfondimento di Enrica Daniela Lo Piccolo

Approfondimento di Enrica Daniela Lo Piccolo

Affidamento del servizio di Supporto al DPO

Determina a contrarre e di aggiudicazione del servizio di supporto al DPO - Il Responsabile della Privacy

Il Responsabile della Privacy (di seguito indicato anche come RP o, dall’inglese, Data Privacy Officer, con acronimo DPO) è la nuova figura introdotta, nell’ordinamento giuridico italiano, dal Regolamento europeo n. 679/2016, che ne regola, altresì, vari aspetti. Il ruolo in esame è, però, da considerare come soggetto originale solo rispetto al quadro normativo italiano, essendo mutuato da esperienze di ambito Profit, da qualche esperienza pubblica italiana e da un’analoga “idea” formulata, qualche anno fa, dal Garante privacy.

Con riferimento alle fonti giuridiche sul RPD,allo stato attuale della normativa, la precisazione di ruolo, compiti e posizione nell’Organizzazione per la Privacy e di “garanzie” che il Titolare deve assicurare a tale figura è presente agli artt. 37, art. 38 e art. 39 del citato testo europeo. Su tale responsabile vertono, altresì, le Linee guida dei Garanti Privacy europei e le FAQ del Garante italiano.

Entrando nei contenuti normativi, la prima cosa da dire è che per le Amministrazioni pubbliche (e in particolare gli enti locali), il Responsabile in esame è obbligatorio. L’art. 37 del Regolamento, infatti, prevede un vero e proprio dovere di designazione da parte del Titolare pubblico (art. 37, comma 1, lett.a). La ragione di tale “interesse” europeo è da collegare alla “delicatezza” giuridica dei dati detenuti e gestiti dalle Pubbliche Amministrazioni. In questo senso la fonte europea “presuppone” che ogni Pubblica Amministrazione debba "potenziarsi", per gestire in modo organizzato il trattamento dei dati personali, con uno specialista capace di presidiare i principali profili per un corretto trattamento.

Peraltro la norma (art. 37, comma 3, lett. a) consente, in linea di massima, alle stesse amministrazioni di designare un unico responsabile della protezione per più “autorità pubbliche”. In questo senso si può presumere che, ad esempio, Unioni di comuni e forme associative di essi possano efficacemente, sia sotto il profilo economico sia sotto quello dell'efficacia, individuare un uguale Responsabile privacy per i Comuni aderenti.

Le norme del testo europeo stabiliscono, altresì, che a ricoprire tale responsabilità non debba essere un qualsiasi soggetto, ma un autentico “professionista della Privacy”, cioè una persona che abbia qualità professionali elevate e comunque adeguate. In tal senso, l’art. 39 chiarisce che il DPO debba avere:

-conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati
- capacità di assolvere i compiti delineati all’art. 39, di cui parleremo a breve.

Ma il RP deve essere un dipendente dello stesso Comune o dell'Unione dei Comuni o, invece, può essere una figura esterna? La norma prefigura, in linea di massima, la doppia possibilità.

Almeno in teoria, pertanto, il RP potrà essere, a scelta del singolo ente, un dipendente o una figura esterna.

Il Garante, addirittura interpreta, sia pure in via generale, che ad assolvere tale compito possa anche essere una società esterna, che, però, individui, al suo interno, un soggetto fisico. D’altra parte è, però, da aggiungere che lo stesso Garante, nelle sue FAQ ( in sostanza, risposte ai dubbi più diffusi in materia), afferma come sia “da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale)”.

Questa indicazione interpretativa appare interessante. Essa dovrebbe spingere la maggior parte delle amministrazioni pubbliche ad individuare, al proprio interno, la figura a cui attribuire il ruolo qui in oggetto, scegliendo il titolare del ruolo, negli Enti medi e grandi, proprio nel legale o nel Segretario stesso, mentre, nei piccoli, considerando, come unica possibilità interna, il Segretario. In questo senso appare non comprensibile, da varie “angolazioni”, che taluni enti stiano cercando, con poca ponderazione, all'esterno. A parte tutto, infatti, come si constaterà dall’analisi dei compiti attribuiti per legge alla figura, si tratta di un ruolo che ove sia interpretato pienamente, non sembra possa sostanziarsi in un incaricato esterno che, ogni tanto, si rechi a fare una “visitina” presso l'ente o sì colleghi con essa (comunque dall’esterno) mediante modalità elettroniche, come un qualsiasi consulente.

L’articolo 39 del Regolamento, infatti, impone al Responsabile qui citato molteplici compiti. Essi vanno dall’informazione e consulenza nei confronti del titolare del trattamento e della struttura intera alla sorveglianza attiva sull'osservanza del regolamento e delle altre disposizioni nazionali relative alla protezione dei dati. Lo stesso articolo richiede anche un suo controllo sull'organizzazione interna posta in essere dal Titolare (specie in ordine alle attribuzione date di responsabilità), sull'attività di sensibilizzazione e formazione del personale e sulle attività di controllo messe in atto dall'organizzazione pubblica.

Egli, poi, deve sorvegliarne lo svolgimento della valutazione d’impatto sulla protezione dei dati ed è chiamato, eventualmente, a collaborare con un parere sulla stessa.

Non di poco conto altresì le attività che gli competono in materia di rapporti sia con l'Autorità di controllo (Garante) e con i privati cittadini, dovendo persino fungere da ruolo di collegamento con essa, sia con gli interessati rispetto ai quali ha un delicato ruolo di cooperazione.

A margine dei compiti, un dovere, persino scontato. ma comunque sottolineato dal regolamento, è, evidentemente, quello di segretezza e di riservatezza (art. 38. 4).

In conseguenza di tali compiti, il Regolamento europeo dispone che abbia un rapporto diretto con il vertice dell'ente (art. 38. 3) e che non debba subire ingerenze nell'esecuzione dei propri compiti ad opera del titolare e del responsabile del trattamento (art. 38, comma 3). Al contrario deve essere adeguatamente sostenuto (art. 38. 2) in termini di risorse; accesso ai dati e mantenimento delle conoscenze specialistiche (art. 38,2).

Come anche evidente da talune interpretazioni del Garante, il responsabile per la protezione dei dati personali non ha, dalle norme regolamentari, un preciso carico di responsabilità giuridiche. In questo senso è da contestare e contrastare l'interpretazione presente a livello di enti secondo cui egli sia il nuovo responsabile in materia, intendendo per tale una sua assunzione di conseguenze giuridiche, specie ove vi siano violazioni di vario genere sulla Privacy. Non è così. Tale soggetto è, sostanzialmente, uno specialista interno o esterno all'amministrazione pubblica e in quanto tale non è chiamato a rispondere come invece può capitare sia al titolare di trattamenti sia al responsabile di una cattiva gestione concreta dei trattamenti. In questo senso, l'unico profilo di conseguenze giuridiche che potrà derivargli, in via eventuale, attiene alla colpa professionale, avendo eventualmente indotto con proprie interpretazioni, il titolare del trattamento o il responsabile del trattamento, a sbagliare a proposito di profili significativi di applicazione della disciplina vigente.

Il Responsabile per la protezione dei dati personali è, nel nuovo regime normativo sulla Privacy, una figura di primo piano. A lui sono attribuiti delicati compiti specialistici e di controllo.

La sua introduzione, da ritenersi obbligatoria per gli enti locali, favorirà, presumibilmente, una migliore applicazione della normativa riformata.

Occorre però stare molto attenti a non ritenere erroneamente che egli rappresenti “il parafulmine” giuridico del titolare e non uno staff efficace come consulente e controllore in materia. Inoltre, non occorre cadere nell'altro errore di considerare tale soggetto come il gestore dei trattamenti. La gestione dei trattamenti resta in campo al Titolare di trattamento e, soprattutto al/i Responsabile/i di trattamento. Sono essi, insieme con i loro delegati (quelli che un tempo venivano chiamati incaricati di trattamento) a dovere effettivamente fare "marciare", in concreto, l'attuazione della normativa.

E’ spesso capitato nelle amministrazioni pubbliche (l’applicazione della sicurezza sul lavoro la dice lunga a questo proposito, con l’analoga figura del Responsabile del Servizio Prevenzione e Protezione) che certe figure di specialisti siano stati (a torto) considerati come quelle tenuti ad applicare le normative. Ove si assuma, nei confronti della nuova figura, una tale logica di “scaricabarile” è da ritenere che decisioni del Garante e sentenze della giurisprudenza (nel caso in esame, presumibilmente, eventuali sentenze della Corte dei Conti o del giudice ordinario in ordine a risarcimenti) potrebbero determinare, per Titolari e Responsabili di trattamento, un duro “ risveglio” sotto il profilo delle responsabilità giuridiche individuali. Quindi è bene introdurre la figura, ma lo è anche utilizzarla in modo proficuo, ricavando da essa ciò che effettivamente deve dare all'organizzazione: un notevole supporto di competenza specialistica.

L'affidamento del servizio di supporto al DPO ad un soggetto esterno rappresenta una soluzione alternativa per le amministrazioni che, a fronte delle accertate carenze di dotazione organica e di competenze specialistiche in materia di dati personali, necessitano di un ulteriore supporto professionale che le indirizzi nella corretta applicazione del Regolamento UE in materia di dati personali.In ottemperanza all'obbligo stabilito dall'art. 37 del Regolamento UE in materia di privacy, le amministrazioni sono tenute ad individuare un Responsabile per la protezione dei dati personali (DPO) tra il personale in servizio presso il Titolare/Responsabile del trattamento dei dati ovvero selezionarlo mediante procedura di gara pubblica.
In caso di nomina del DPO tra il personale interno, l'amministazione pubblica deve assicurarsi che questo sia in possesso delle necessarie competenze ed esperienze in materia di protezione dei dati personali e che, ai fini dello svolgimento di tale incarico, non si ponga in conflitto d'interesse. Qualora, verificata la possibilità di individuare un DPO interno, l'amministrazione si rendesse conto che l'adeguamento al Regolamento privacy presuppone il possesso di competenze giuridiche maggiormente specializzate e una certa disponibilità in termini di tempo, questa può avvalersi di un soggetto esterno che supporti lo stesso DPO nelle svolgiemto delle sue attività.
Quindi, al fine di conformarsi alle diposizioni europee in maniera corretta e puntule e rispettare altresì il termine ultimo di adeguamento fissato per il 25 maggio 2018 , è possibile affidare il servizio di supporto al DPO mediante gara d'appalto.
Il soggetto aggiudicatario, in forza del contratto di servizio stipulato, collaborerà con il DPO e, più in generale, con i soggetti dell'amministrazione coinvonti nella gestione di dati personali svolgendo, ad esempio, i seguenti compiti:
valutare la conformità ovvero non conformità delle misure tecniche ed organizzative nonché degli atti amministrativi adottati;
supportare giuridicamente l'amministrazione nella predisposizione ed aggiornamento dei principali atti previsti dal Regolamento europeo (ad esempio, schema di Regolamento comunale per la gestione della privacy e Registro delle attività di trattamento e Valutazione d’impatto) nonchè il Responsabile della transizione digitale;

 supportare nell’individuazione dei trattamenti soggetti a maggior rischio di violazione della privacy;

aggiornare il Titolare, i responsabili e gli incaricati del trattamento sugli obblighi derivanti dal Regolamento privacy, dalle leggi nazionale e dagli atti del Garante Privacy;

organizzare incontri periodici in teleconferenza al fine di verificare la corretta gestione dei trattamenti dei dati personali;

organizzare giornate di formazione così da assolvere agli obblighi formativi per il personale previsti dal Regolamento privacy.

“Il nuovo Regolamento privacy impone nuovi e più stringenti adempimenti in merito al trattamento dei dati personali. Considerato che parte delle attività di trattamento avviene mediante l’utilizzo di strumenti software e infrastrutture tecnologiche acquistati nel mercato, esistono applicativi certificati a norma GDPR (General Data Protection Regulation)?”

Orbene, il nuovo Regolamento Privacy n. 679/2016 pone al centro del processo di trattamento la responsabilità del titolare che dovrà in ogni momento dimostrare la corretta gestione del dato personale e il rispetto dei principi sanciti dall’art. 5 del Regolamento medesimo (liceità, finalità, minimizzazione, esattezza, integrità e diritto all’oblio). Considerato l’impiego di strumenti informatici nell’acquisizione e gestione del dato personale, occorre che questi siano progettati nel rispetto dei principi di “privacy by design” e “privacy by default” previsti dall’art. 25 del Regolamento.

Come disposto dall’art. 42 dello stesso Regolamento, “gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente Regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”.

Con la Circolare n. 12/2017 Accredia ha ricordato che, il Garante per la protezione dei dati personali ritiene necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che al momento le certificazioni di persone, nonché quelle emesse in materia di Privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un Sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi ‘conformi agli artt. 42 e 43 del Regolamento n. 679/2016’, poiché devono ancora essere determinati i ‘requisiti aggiuntivi’ ai fini dell’accreditamento degli Organismi di certificazione e i criteri specifici di certificazione”.

In mancanza dunque di un soggetto certificatore accreditato che possa certificare l’intero processo di trattamento o parti di esso quali le funzionalità di un software impiegato, l’intero processo di gestione dei dati personali resta nelle responsabilità del Titolare. Sicuramente la conformità del software allo Schema di certificazione Isdp 10003:2015, ancorché non certificato, è importante per comprovare la corretta gestione del dato personale.

Inoltre, si rammenta che, come previsto dalla Circolare Agid n. 2 del 24 giugno 2016, l’acquisizione di beni e servizi Ict presso gli Enti indicati nell’art. 1, comma 3, della Legge n. 196/09, deve avvenire nelle more della definizione del “Piano triennale per l’informatica nella Pubblica Amministrazione” previsto dalle disposizioni di cui all’art.1, comma 513 e seguenti, della Legge n. 208/15 (“Legge di stabilità 2016”). La Manovra citata, all’art. 1, commi 512-517, prevede infatti un obiettivo di risparmio della spesa annuale della Pubblica Amministrazione, da raggiungere alla fine del triennio 2016-2018, pari al 50% della spesa annuale media per la gestione corrente del solo Settore informatico, relativa al triennio 2013-2015.

Sono escluse dall’obiettivo di risparmio le spese:

a) sostenute per approvvigionarsi dei servizi di connettività;
b) effettuate tramite Consip Spa o i soggetti aggregatori, documentate nel Piano triennale;
c) effettuate tramite la Società di cui all’art. 83, comma 15, del Dl. n. 112/08, convertito con modificazioni dalla Legge n. 133/08.
Sono inoltre esclusi dall’obiettivo di risparmio gli Enti disciplinati dalla Legge 9 marzo 1989, n. 88, nonché, per le prestazioni e i servizi erogati alle Amministrazioni committenti, le Società di cui all’art. 83, comma 15, del Decreto-legge 25 giugno 2008, n. 112, convertito con modificazioni dalla Legge 6 agosto 2008, n. 133, le Società di cui all’art. 10, comma 12, della Legge 8 maggio 1998, n. 146, e la Consip Spa, nonché l’Amministrazione della Giustizia, in relazione alle spese di investimento necessarie al completamento dell’informatizzazione del Processo civile e penale negli Uffici giudiziari.

Infine, si ricorda che è attualmente in corso il censimento delle patrimonio Ict della P.A. disposto dalla Circolare n. 5/17 dell’AgID che si dovrebbe concludere il 20 giugno 2018, in base al quale le infrastrutture fisiche, se non qualificate come “Polo strategico nazionale”, saranno suddivise in 2 gruppi:

Gruppo A – Data centerdi qualità che non sono stati eletti a “Polo strategico nazionale”, oppure con carenze strutturali o organizzative considerate minori. Come indicato in seguito, queste strutture potranno continuare ad operare ma non potranno essere effettuati investimenti per l’ampliamento o l’evoluzione. Dovranno comunque garantire continuità dei servizi e disaster recovery, fino alla completa migrazione, avvalendosi dei servizi disponibili con il Contratto-quadro SPC Cloud lotto 1 o messi a disposizione dai “Poli strategici nazionali”.
Gruppo B – Data center che non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo, o non garantiscono la continuità dei servizi. Queste infrastrutture dovranno essere rapidamente consolidate verso uno dei “Poli strategici nazionali” o verso il cloud tramite i servizi disponibili con il Contratto quadro SPC Cloud lotto 1.
Le Pubbliche Amministrazioni, come riportato anche nella Circolare AgID 24 giugno 2016, n. 2, non possono sostenere spese relative alla costituzione di nuovi data center o all’evoluzione di data center esistenti non eletti a “Poli strategici nazionali”.

Le Pubbliche Amministrazioni potranno procedere – previa approvazione di AgID – agli adeguamenti dei propri data center esclusivamente al fine di:

evitare problemi di interruzione di pubblico servizio;
anticipare processi di dismissione dei propri data center per migrare alcloud della P.A.;
consolidare i propri servizi su data center di altre P.A. al fine di ottenere economie di spesa.

5 agosto 2019