DPO e P.A.: l'incarico esterno va pubblicizzato ex ante

| 22/11/2018 11:27

di Avv. Amedeo Pisanti – www.pisantiavvocati.it
componente della Commissione Privacy e Security dell'Ordine degli Avvocati di Napoli


La giurisprudenza comincia a delineare i requisiti delle procedure di evidenza pubblica per l'affidamento all'esterno del servizio, da espletarsi tramite le piattaforme di e-procurement, differenziate a seconda dell'importo. Ma anche la scelta del dipendente interno va ponderata tenendo conto del contesto organizzativo-lavorativo dell'ente.


L'obbligo di nomina del DPO tra ritardi cronici ed opportunità di rinnovamento.


L'art. 37, par. 1, lett. a), del Regolamento Ue 2016/679 prevede che i titolari e i responsabili del trattamento designino un DPO «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».


Dunque, la nomina è dovuta in ambito pubblico, differentemente da quello privato, nel quale l'obbligo scatta solo in presenza di specifici requisiti posseduti dall'azienda.


Il GDPR, tuttavia, non fornisce la definizione di autorità pubblica o organismo pubblico e, come chiarito anche nelle Linee guida adottate in materia dal WP29 (acronimo di Working Party article 29, in italiano Gruppo articolo 29), ne rimette l'individuazione al diritto nazionale applicabile.
In Italia sono obbligati alla designazione i soggetti che ricadevano nell'ambito di applicazione degli artt. 18-22 del D.Lgs. 169/2003, oggi abrogati dal D.Lgs. 101/2018, che stabilivano le regole generali per i trattamenti effettuati dai soggetti pubblici, quali le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le regioni e gli enti locali, le università, le camere di commercio, industria, artigianato e agricoltura, le aziende del servizio sanitario nazionale, le autorità indipendenti.


A tali soggetti deve ritenersi possano essere affiancati anche quelli privati che esercitino funzioni pubbliche, come per esempio i concessionari di servizi pubblici, sebbene non sussista uno specifico obbligo.


Naturalmente ogni pubblica amministrazione, anche non rientrante nei soggetti sopra menzionati, su base volontaria può procedere alla designazione di un DPO ed in tal caso si applicano gli identici requisiti, in termini di criteri per la designazione, posizione e compiti, operanti quando la designazione è prevista come obbligatoria.


Malgrado il su descritto obbligo di legge, alla fine del 2018, secondo alcune stime solo una pubblica amministrazione locale su tre avrebbe provveduto ad effettuare la nomina del DPO,e la stragrande maggioranza non avrebbe neanche comunicato il nominativo tramite la procedura telematica messa a disposizione dal Garante per la Protezione dei Dati Personali.


E' ciò costituisce la perdita di una grande opportunità di rinnovamento delle pubbliche amministrazioni di qualsiasi dimensione, dal piccolo comune all'azienda sanitaria di grandi dimensioni, le quali, quando raggiungono la compilance in materia di data protection, hanno l'occasione per operare una revisione dei processi interni ed al tempo stesso adeguare anche la propria dotazione tecnologico-informatica, sia in termini hardware sia software, troppo spesso datata ed insicura, con grave compromissione della sicurezza dei dati dei cittadini, in molti casi anche di natura sensibile.


Tali ritardi, da un lato, sono dovuti ai cronici intoppi burocratici che troppo spesso ostacolano l'adeguamento normativo e, dall'altro, alle limitate risorse finanziarie tipiche dell'attuale congiuntura economica, la quale impone il contenimento della spesa pubblica anche a quegli enti che, non avendo personale disponibile per competenze e/o eccessivi carichi di lavoro per ricoprire il ruolo, non riescono ad indire procedure per l'affidamento all'esterno del servizio.


Le procedure di gara per l'affidamento a soggetti esterni.


Infatti, anche nell'ambito pubblico, come in quello privato, l'incarico di DPO può essere ricoperto sia da un soggetto esterno con competenze idonee, che da un dipendente interno, preferibilmente in posizione apicale e dotato di adeguata professionalità ed autonomia.


Per quanto riguarda l'affidamento esterno, esso si configura con un appalto di servizi e come tale soggiace alle norme del D.Lgs. 50/2016, non potendosi inquadrare come prestazione d'opera intellettuale ai sensi degli artt. 2222 e seguenti del codice civile. Ne consegue che le pubbliche amministrazioni sono tenute ad indire apposite procedure di evidenza pubblica, differenziate a seconda dell'importo dell'affidamento e non possono, naturalmente, come invece consentito al privato, operare intuitu personae.


Per la selezione di questo professionista, come per ogni appalto di servizi reso disponibile sui sistemi di e-procurement, l'art. 26, comma 3, della Legge 23/12/1999 n. 488 e l'art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in Legge 7 agosto 2012 n. 135 recante «Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini», dispongono la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio, se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.


Non è pertanto possibile affidare il servizio al di fuori delle piattaforme di e-procurement.
In tale ambito si registra già un primo importante e recentissimo intervento della magistratura amministrativa, la quale sotto il profilo del rispetto del principio di trasparenza imposto dal D.Lgs. 50/2016 ha stabilito che «è illegittimo il provvedimento con il quale la stazione appaltante avvia la procedura per l'affidamento, attraverso una procedura negoziata, del servizio di responsabile della protezione dei dati personali previsto dall'articolo 37 del Regolamento Ue 2016/679, se non è stata data prima pubblicità alla fase preliminare di esplorazione del mercato, così da precludere la più ampia partecipazione degli operatori e la selezione di soggetti specializzati in materia di protezione dei dati» (cfr T.A.R. Friuli Venezia Giulia – sede di Trieste, sezione I, sentenza n. 252 del 18/07/2018).


Chiarite le modalità attraverso le quale deve avvenire ex lege l'affidamento del servizio, appare importante definire il perimetro dei requisiti professionali che dovrebbe avere il DPO.


Infatti, sul versante dell'affidamento del servizio all'esterno, occorre definire requisiti che non siano eccessivamente penalizzanti per la par condicio dei concorrenti alla procedura di evidenza pubblica ed al tempo stesso siano idonei ad assicurare la scelta di un soggetto dotato di adeguata professionalità e competenza, che possa garantire l'esecuzione di una prestazione coerente con le dimensioni e la complessità dell'organizzazione dell'ente.


Sotto tale profilo si è pronunciato recentemente il T.A.R. Friuli Venezia Giulia – sede di Trieste, che, con riferimento alla certificazione ISO richiesta come requisito di accesso per il confronto concorrenziale previsto dalla lex specialis di una gara bandita da un ente locale, ha stabilito che «la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell'assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell'alveo della disciplina introdotta dal GDPR, dovendosi considerare che la norma ISO 27001 trova prevalente applicazione nell'ambito dell'attività di impresa, e che la stessa, per quanto potenzialmente estensibile all'attività delle pubbliche amministrazioni, fa pur sempre salva l'applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza. Ne consegue che la certificazione indicata, di per sé, non può costituire requisito di ammissione alla selezione per l'affidamento dell'incarico di responsabile della protezione dei dati, trattandosi di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati), ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso» (cfr. T.A.R. Friuli Venezia Giulia – sede di Trieste, sezione I, sentenza n. 287 del 13/09/2018).


Procedimenti di scelta di dipendenti interni.


Per quanto attiene, invece, la selezione di una risorsa interna all'amministrazione si pone il problema di definire quale qualifica debba rivestire il dipendente pubblico assegnatario dell'incarico di DPO: nell'ambito del lavoro alle dipendente della pubblica amministrazione, infatti, il D.Lgs. 165/2001 distingue funzionari e dirigenti, questi ultimi con diversi gradi di responsabilità.


Invero, il GDPR non fornisce specifiche indicazioni al riguardo e pertanto risulta opportuno, in primo luogo, valutare se il complesso dei compiti assegnati siano o meno compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale. Il DPO, difatti, è chiamato ad assumere compiti aventi rilevanza interna, come consulenze, pareri, sorveglianza sul rispetto delle disposizioni, ed esterna, quali la cooperazione con l'autorità di controllo e contatto con gli interessati in relazione all'esercizio dei propri diritti.


In merito, l'art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all'interno dell'organizzazione. In particolare, come si legge nella norma, occorre assicurare che il DPO «non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti». Il considerando 97 aggiunge che i DPO «dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente». Ciò significa, come chiarito nelle Linee guida adottate dal WP29, che «il DPO, nell'esecuzione dei compiti attribuitigli ai sensi dell'articolo 39, non deve ricevere istruzioni sull'approccio da seguire nel caso specifico: quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l'autorità di controllo. Né deve ricevere istruzioni sull'interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».


Inoltre, sempre ai sensi dell'art. 38, par. 3, del GDPR, il DPO «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell'esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.


Per quanto sopra, nel caso la scelta ricada su un dipendente interno, appare preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell'organizzazione.


Visto il profilo di elevata responsabilità, come sopra delineato, derivante dalla molteplicità di compiti e funzioni rivestiti dal DPO, soprattutto nelle pubbliche amministrazioni articolate in una vasta pluralità di uffici e a servizio di un'ampia platea di cittadini, si pone anche il problema di stabilire se ed in che termini l'incaricato debba essere dotato di un proprio ufficio, con eventuale assegnazione di personale dedicato.


Il Regolamento Ue 679/2016 prevede, all'art. 38, par. 2, che «il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39, fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».
Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell'organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati. Come riportato anche nelle Linee guida del WP29, in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del DPO. La funzione "protezione dati" deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.


All'esito di questa analisi si potrà valutare quindi l'opportunità/necessità di istituire un apposito ufficio, al quale eventualmente destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di DPO mediante un apposito atto di designazione.

Dello stesso autore

I (SUPER) POTERI DEL DPO NELLA PUBBLICA AMMINISTRAZIONE

Vetrina