Le Scuole spesso non identificano correttamente il DPO!!
Al fine di dare alcune indicazioni rispetto alla designazione del DPO o RPD, si evidenzia il documento di indirizzo sulla designazione del DPO/RPD del garante della privacy, che ben pulisce e sgombera da ogni dubbio la ormai fuori controllo nomina del DPO da parte delle istituzioni scolastiche.
In particolare si evidenzia come alcuni comportamenti messi in atto dalle scuole o dalle reti di scuole siano profondamente pericolosi, ed in particolare:
1) vincolare l’assegnazione dell’incarico al possesso di titoli specifici, facendo diventare gli stessi sbarramento nel bando, assegnando punteggi a lauree in contrasto con quanto previsto dalla norma, SENZA INVECE VALUTARE LE COMPETENZE SPECIFICHE.
il garante infatti dice: “I requisiti in tal modo richiesti non sono stabiliti dal Regolamento o da altre disposizioni normative, e il loro eventuale possesso non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti.
Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali), potendo, invece, escludere in modo ingiustificato dalla competizione soggetti ugualmente esperti della materia, come potrebbero esserlo soggetti non iscritti all’albo degli avvocati che dimostrino di aver completato la propria preparazione anche sul versante giuridico o di avere una comprovata esperienza in materia di protezione dei dati personali.”
Evidentemente utilizzare tali criteri nei bandi è errato e contestabile.
2) Nella selezione del DPO è necessario valutare il team di supporto che lo stesso DPO possiede, che deve avere varie competenze e deve poter garantire, anche con idonei strumenti a supporto, l’idonea assistenza.
il Garante afferma: “è emerso che alcune società svolgono incarichi di RPD per conto di numerosi soggetti pubblici (nell’ordine delle centinaia), spesso anche variamente dislocati sull’intero territorio nazionale. Oltre all’incarico di RPD, è emerso che tali società svolgono anche altri incarichi che pur non essendo, in generale, incompatibili con il ruolo di RPD (ad esempio, quello di referente nell’ambito della sicurezza del lavoro) potrebbero comunque rendere difficile lo svolgimento di tutti i compiti affidati, soprattutto quando queste società operano con risorse non adeguate, incidendo anche sulla credibilità della qualità del lavoro svolto come RPD.
A questo proposito, si sono riscontrate situazioni in cui queste società indicano, quale referente persona fisica per conto dei vari “clienti”, sempre i medesimi collaboratori, affiancandoli con una squadra composta da un numero molto esiguo di unità. Peraltro, in alcuni casi, questi non sono nemmeno deputati allo svolgimento esclusivo di funzioni di supporto al RPD, ma svolgono anche altri incarichi (compiti di amministrazione, formazione alla sicurezza sul lavoro, ecc.; per quanto concerne specifiche situazioni di incompatibilità e conflitto di interessi, cfr. par. 10).
La numerosità dei clienti per i quali tali società svolgono il ruolo di RPD, considerato
l’esiguo numero di risorse umane, materiali e temporali impiegate in rapporto alla complessità e alla numerosità dei compiti affidati, fa sorgere dei dubbi sul fatto che le modalità di svolgimento del ruolo di RPD possano ritenersi effettivamente adeguate a fornire un efficace supporto a ciascun titolare per lo svolgimento dei compiti previsti dall’art. 39 del Regolamento (oltre che a fungere quale punto di contatto per gli interessati, ai sensi dell’art. 38, par. 4, del Regolamento). Le stesse perplessità emergono anche nelle ipotesi in cui una medesima figura che rivesta il ruolo di RPD sia chiamata, per conto anche del medesimo soggetto pubblico, a svolgere ulteriori incarichi.”
3) remunerazione sotto i 1500 euro desta sospetti sulla possibile qualità del lavoro:
il Garante declina “. Sono state rappresentate all’Autorità situazioni in cui bandi di gara per l’affidamento all’esterno del servizio di RPD prevedevano compensi estremamente bassi nell’ordine delle poche centinaia di euro, avvalendosi del criterio di aggiudicazione basato sul prezzo più basso di cui all’art. 95 del d.lgs. 18 aprile 2016, n. 50.
Nel corso dell’attività ispettiva sono emerse anche realtà peculiari in cui una società consortile, che già offre agli enti pubblici consorziati servizi a fronte del versamento di una quota annuale di partecipazione al consorzio, si è proposta, nei confronti dei medesimi enti, di fornire loro il servizio di RPD in forma gratuita. Questa scelta sarebbe motivata dalle garanzie offerte dalla propria “società partecipata” di riferimento, oltre che da evidenti ragioni di contenimento dei costi nelle aree del Paese più in difficoltà sotto il profilo economico e finanziario.
In proposito, si ritiene che l’eccessivo abbassamento della remunerazione per la fornitura del servizio di RPD abbia un duplice effetto negativo: da una parte, quello di consentire l’aggiudicazione in favore di candidati che, nonostante quanto previsto dall’art. 37, par. 5, del Regolamento, non abbiano una formazione specifica idonea allo svolgimento dei delicati compiti che spettano al RPD; dall’altra, quello di spingere i soggetti affidatari, per conseguire una remunerazione adeguata, ad accumulare un elevato numero di incarichi, con la conseguenza di non riuscire ad offrire un servizio efficace a ciascuno dei propri clienti , pertanto come per quanto detto in relazione alla durata del contratto, anche nella determinazione del compenso l’ente pubblico affidante, pur tenendo in adeguato conto le risorse a disposizione e la situazione organizzativa, dovrebbe effettuare valutazioni di congruità della cifra da stabilire, al fine di investire un RPD che svolga i propri compiti in maniera efficace.
In questa prospettiva, si invitano gli enti pubblici, nel momento della definizione dei criteri di aggiudicazione del servizio di RPD, a considerare di privilegiare la scelta del criterio dell’offerta economicamente più vantaggiosa, in coerenza con la preferenza accordata dall’art. 95 del d.lgs. 50/2016 e affermata dall’Adunanza plenaria del Consiglio di Stato (sent. 21 maggio 2019, n. 8), nonché in linea con le indicazioni fornite dall’Autorità nazionale anticorruzione. Infatti, come sancito dal richiamato orientamento giurisprudenziale, le stazioni appaltanti sono nondimeno
vincolate alla preferenza accordata dalla legge a criteri di selezione che abbiano riguardo non solo all’elemento prezzo, ma anche ad aspetti di carattere qualitativo delle offerte“.
4) il garante inoltre sottolinea che la durata idonea di un incarico di DPO/RPD è di almeno tre anni.
INVIATIAMO CALDAMENTE TUTTE LE SCUOLE ALLA LETTURA DELLE INDICAZIONI DEL GARANTE PERCHE’ SONO ORMAI TROPPE LE SITUAZIONI CHE NON SONO A NORMA E CHE, IN CASO DI INCIDENTE, PORTEREBBERO A GRAVI PROBLEMI E SANZIONI AL TITOLARE DEL TRATTAMENTO, RICORDANDO CHE IL NOSTRO GRUPPO EDITORIALE HA GIA’ DA SEI ANNI MESSO A REGIME LE INDICAZIONI RIASSUNTE DAL GARANTE NELLA NOTA ALLEGATA.
LA NOSTRA FILOSOFIA
PRESENTAZIONE Gestire il GDPR 679 ver 2.0
