Nomina DPO nel pubblico e nel privato: tutte le regole
24 Agosto 2020 in DPO as a Service
La principale differenza della nomina DPO per il settore pubblico, rispetto al privato, consiste nell’obbligatorietà per il primo, come stabilito dal regolamento europeo GDPR, mentre per il privato l’obbligo è presente solo a certe condizioni. Di conseguenza, mentre le aziende private devono motivare e documentare sia l’identificazione dei criteri di obbligatorietà di nomina del DPO o, viceversa, di non obbligatorietà, gli enti e le aziende pubbliche, comunque obbligate alla nomina, non devono fornire motivazioni.
Nomina DPO interna: attenzione al conflitto di interessi
Un’ulteriore differenza che caratterizza la nomina DPO nel pubblico è generalmente la minore disponibilità di risorse o, quanto meno, la maggior difficoltà nel reperire risorse aggiuntive.
L’azienda privata, per eventi straordinari come il GDPR e la conseguente nomina DPO, può prevedere con una certa agilità un budget straordinario, mentre per un’azienda o un ente pubblico lo stanziamento di risorse necessarie per la nomina DPO esterno (che pure è prevista dal regolamento) deve essere definito all’interno della legge di bilancio o con procedure comunque complesse. Per superare questo ostacolo, la tendenza del pubblico è internalizzare le funzioni DPO, non tanto in base a scelte di opportunità come farebbe un’azienda privata, quanto perché si considera questa la via più semplice. È dunque frequente la scelta, certo legittima, di nominare come DPO uno dei responsabili di funzione, con il rischio di generare un conflitto di interessi che potrebbe essere evitato con la nomina di un DPO esterno.
Un esempio estremo, realmente accaduto, di conflitto di interessi è quello di Comuni che hanno nominato DPO il sindaco o il suo capo gabinetto, cariche con potere decisionale sulle modalità di trattamento dei dati, sulle misure di sicurezza, sugli investimenti, sulla scelta degli strumenti… Il DPO svolgendo il suo ruolo di controllo dovrebbe di fatto indagare sul proprio operato.
In generale, non è facile all’interno di aziende o enti pubblici, identificare dirigenti o entità che godano di quella terzietà che la nomina DPO dovrebbe assicurare. Nelle grandi aziende private è invece spesso possibile individuare figure o funzioni indipendenti, come accade per banche e assicurazioni che per normativa prevedono un reparto compliance con funzioni di vigilanza.
Il caso INPS è un esempio tipico di nomina DPO interna nella funzione sbagliata. Senza voler entrare nel merito del presunto data breach e della sua gestione, in quell’occasione è emerso non solo che la nomina DPO era interna ma che il DPO era il Direttore Sistemi, ossia colui che generalmente sceglie gli strumenti per la gestione dei trattamenti e probabilmente le misure di sicurezza. Il problema non è la competenza ma la terzietà, come evidenzia la scelta del Garante in Germania (dove la nomina DPO era consuetudine ancor prima dell’entrata in vigore del GDPR) che da tempo prevede sanzioni per le aziende (pubbliche o private) che nominano DPO il Direttore Sistemi.
La selezione del DPO: accertare le competenze ma senza requisiti arbitrari
Per procedere alla nomina DPO esterno, il pubblico ricorre a bandi di gara, con caratteristiche diverse da un eventuale bando che un’azienda privata può decidere di svolgere sulla base di proprie politiche interne. In particolare, un bando pubblico per una gara di appalto introduce necessariamente vincoli non decisi dal committente ma imposti dai regolamenti. Tuttavia, a volte il pubblico è tentato di inserire requisiti arbitrari a cui i fornitori devono sottostare, con il rischio di possibili ricorsi da parte di chi viene escluso. Esempi realmente accaduti sono quello in cui si chiedeva che l’azienda per concorrere dovesse avere sede in una particolare provincia, violando così le normative europee, o quello in cui era considerato un requisito, per poter partecipare alla gara di nomina DPO, la certificazione 27001 (non prevista da GDPR).
Dal punto di vista sostanziale, sia pubblico sia privato sono tenuti ad accertare le competenze e le conoscenze dei candidati per la nomina DPO, come previsto dal regolamento, senza tuttavia introdurre requisiti arbitrari, con il rischio di vedere invalidato il bando.
Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation