PA senza DPO e l’indagine del Garante Privacy. Il commento dell’Avv. Lisi su Cybersecurity360

L’Autorità Garante per la protezione dei dati personali ha aperto un’indagine sui grandi Enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati, conosciuto anche come Data Protection Officer (DPO) nella sua accezione inglese. Il controllo, a cui faranno seguito provvedimenti correttivi e sanzionatori, delinea ancora una volta una situazione drammatica per le PA, in alcuni casi impossibilitate, anche per ragioni economiche, a designare delle risorse in grado di assolvere ruoli specialistici.

A commentare la vicenda sulle pagine di Cybersecurity360 è intervenuto l’Avv. Andrea Lisi, sottolineando una problematica di difficile risoluzione e che colpisce, in particolar modo, anche le piccole realtà pubbliche.

Un obbligo troppo spesso ignorato

Secondo il GDPR, se il trattamento dei dati personali è effettuato da soggetti pubblici (ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni), i titolari e i responsabili del trattamento sono obbligati a designare un Responsabile della protezione dei dati (o DPO) e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura online messa a disposizione dall’Autorità stessa. Si tratta di una disposizione volta a garantire che il Garante possa contattare il DPO in modo facile e diretto. Tuttavia sono ancora più di mille i Comuni senza DPO e questo non può che spingere a controlli ancora più serrati, che comunque non risolvono del tutto una problematica ancora troppo radicata.

Lisi: “Una carenza diventata voragine nelle piccole PA, bisogna puntare sulle (reali) competenze specialistiche”

“La notizia dell’indagine del Garante sui DPO degli enti locali italiani in realtà non mi sorprende” – ha commentato l’Avv. Andrea Lisi “solo pochi mesi fa, in occasione del Forum Nazionale ANORC dei professionisti della privacy e conservazione, avevamo denunciato i mancati adempimenti (in termini di trasparenza della informativa on line) da parte di diversi enti pubblici relativi alla nomina dei Digital Preservation Officer (o – come sono più conosciuti – Responsabili della conservazione) e, in generale, avevamo sottolineato in quell’occasione la generalizzata carenza di tutte quelle figure specialistiche preposte a garantire un adeguato livello di protezione e gestione di dati e documenti informatici, tra cui, appunto, anche il Data Protection Officer (DPO).

Questa carenza diventa purtroppo voragine negli enti locali.

In particolare, la problematica che ruota attorno ai Responsabili della protezione dei dati è oggi delicatissima. Sempre più spesso enti pubblici e privati preferiscono rivolgersi a figure che assumono spensieratamente (e a tappeto sul territorio nazionale) il ruolo di loro “esperti di privacy” in cambio di compensi irrisori, senza comprendere che il futuro digitale del nostro Paese dipende anche (e oserei dire soprattutto) dalla serietà e dalla competenza con cui queste funzioni devono essere portate avanti.

Occorre, però, riconoscere con un minimo di obiettività che la carenza dei DPO all’interno degli enti locali è dovuta anche a una difficoltà ontologica degli enti stessi di dotarsi di tali figure. Infatti, soprattutto gli enti più piccoli – anche per ragioni economiche – non sono dotati di un apparato di risorse (interne ed esterne) in grado di assolvere con serietà compiti cosi specialistici.
Per uscire dall’impasse è fondamentale che oggi le realtà locali facciano sistema tra loro, costituendo reti in grado di sviluppare competenze verticalizzate che siano in grado di lavorare in team interdisciplinari al servizio di terminati territori e rendere così finalmente operativi i ruoli dei DPO, troppo spesso designati solo formalmente (quando sono designati…)”.

Immagine di copertina: Pexel.com