Questo DPO si deve fare, non si sfugge. Non possono sfuggirci i comuni e non importa quanto piccoli. Non ci sono più scuse: così ora il Garante della protezione dei dati personali è passato per la prima volta dalle parole alle azione, dopo anni di richiami.

Garante: PA senza DPO, ora basta, scattano i controlli

Ha avviato un’indagine nei confronti di grandi enti locali per verificare se rispettano l’obbligo di comunicare i dati di contatto del Responsabile della protezione dei dati, anche chiamato (dall’inglese) DPO. Così riporta in una nota di oggi.

Questo controllo riguarda enti di grandi dimensioni che trattano una quantità significativa di dati personali e mira all’adozione di interventi specifici. Il Garante parte insomma da loro e su alcuni di loro ha avviato procedimenti correttivi e sanzionatori per il mancato invio di questa comunicazione. “In futuro, questi controlli potranno essere estesi anche agli enti locali più piccoli e ad altri soggetti pubblici”, si legge nella nota.

Il Garante ricorda che i titolari e i responsabili del trattamento dei dati personali sono obbligati a designare un RPD e a comunicarne i dati di contatto al Garante della protezione dei dati personali quando il trattamento dei dati è effettuato da soggetti pubblici. Questa disposizione è volta a garantire che il Garante possa contattare il RPD in modo facile e diretto, visto che uno dei suoi compiti è fungere da punto di riferimento tra il soggetto pubblico e l’Autorità stessa.

Il problema del DPO negli enti locali

Sono ancora mille i Comuni senza DPO ed è inaccettabile, come dichiarato da Agostino Ghiglia, del collegio del Garante, al Cybersecurity360Summit (11 maggio a Roma) e ribadito a Cybersecurity360. “Sono due anni che lo dico, ora si passa all’azione”, dice oggi Ghiglia a Cybersecurity360.

“La notizia dell’indagine del Garante sui DPO degli enti locali italiani in realtà non mi sorprende”, commenta al nostro giornale Andrea Lisi, avvocato esperto di privacy e membro di un gruppo di lavoro sulla PA digitale presso il Governo.

“Solo pochi mesi fa, in occasione del Forum Nazionale ANORC dei professionisti della privacy e conservazione, avevamo denunciato i mancati adempimenti (in termini di trasparenza della informativa on line) da parte di diversi enti pubblici relativi alla nomina dei Digital Preservation Officer (o – come sono più conosciuti – Responsabili della conservazione) e, in generale, avevamo sottolineato in quell’occasione la generalizzata carenza di tutte quelle figure specialistiche preposte a garantire un adeguato livello di protezione e gestione di dati e documenti informatici, tra cui, appunto, anche il Data Protection Officer (DPO)”.

“Questa carenza diventa purtroppo voragine negli enti locali”, aggiunge Lisi.

In particolare, la problematica che ruota attorno ai Responsabili della protezione dei dati è oggi delicatissima, ricorda Lisi. “Sempre più spesso enti pubblici e privati preferiscono rivolgersi a figure che assumono spensieratamente (e a tappeto sul territorio nazionale) il ruolo di loro “esperti di privacy” in cambio di compensi irrisori, senza comprendere che il futuro digitale del nostro Paese dipende anche (e oserei dire soprattutto) dalla serietà e dalla competenza con cui queste funzioni devono essere portate avanti”.

Ghiglia a questa nota obiezione ribatte dicendo che comunque avere un DPO è meglio di niente.

Continua Lisi: “Occorre, però, riconoscere con un minimo di obiettività che la carenza dei DPO all’interno degli enti locali è dovuta anche a una difficoltà ontologica degli enti stessi di dotarsi di tali figure. Infatti, soprattutto gli enti più piccoli – anche per ragioni economiche – non sono dotati di un apparato di risorse (interne ed esterne) in grado di assolvere con serietà compiti cosi specialistici“.

“Per uscire dall’impasse è fondamentale che oggi le realtà locali facciano sistema tra loro, costituendo reti in grado di sviluppare competenze verticalizzate che siano in grado di lavorare in team interdisciplinari al servizio di terminati territori e rendere così finalmente operativi i ruoli dei DPO, troppo spesso designati solo formalmente (quando sono designati…)”, conclude Lisi.

