A Gennaio 2018 Aziende ed Enti VORREBBERO INQUADRARE il Responsabile Protezione Dati DPO voluto dal GDPR 679 2016 tra la Donna delle Pulizie ed il Ragazzo che cambia i Toner

 

Che ci fossero per molte Aziende ed Enti delle “idee confuse” sull’applicazione del Regolamento Europeo di prossima entrata a regime in maggio 2018, era fuori dubbio.

Ma che a giudicare da alcuni bandi di ricerca e selezione che stanno girando in rete negli ultimi tempi, si stia “cercando di inquadrare” la nuova Professione del Data Protection Officer tra la “donna delle pulizie” che viene in Azienda una volta alla settimana ed il ragazzo che cambia i toner alle stampanti, è cosa certa!!

Tra i primi ad ufficializzare la nomina del Data Protection Officer, Dicembre 2017, vi è la Farnesina (Ministero Degli Esteri) che tutto sommato ha “partorito” qualcosa di accettabile e grossomodo adeguato alle linee guida sia del GDPR 679/2016 che dell’Autorità Garante.

Ma vedendo bene, tra Dicembre e Gennaio, si è scatenata una “grandine” di bandi pubblici da parte di Enti e società partecipate che non possono non far pensare che ci siano “poche idee, molto confuse”.

Come non si riesce a comprendere se ci sia stata una confusione generale, nonostante le tante sessioni informative del Garante Trattamento e Tutela Dati Personali (Garante Privacy), oppure la volontà di ricercare sul mercato, al prezzo più basso, una professione impegnativa e completa del DPO che nulla ha a che vedere con il normale appalto di servizi della suddetta “donna delle pulizie”.

Alcuni estratti da questi bandi, non lasciano dubbi di interpretazione su quanto sarà difficile che queste selezioni vedano nascere rapporti adeguatamente conformi e sicuri al GDPR:

L’incarico professionale è finalizzato alla realizzazione delle attività e dei compiti previsti dall’articolo 39 del nuovo regolamento europeo in materia di privacy n. 2016/679/UE” (a parte che sono articolo 37-38-39 e si tratta di GDPR Data Protection e non solo di Privacy)

possesso di certificazione di esperto privacy e/o data privacy officer e/o responsabile della protezione dei dati” (nonostante anche Autorità Garante abbia specificato che non risulta obbligatoria il possesso di certificazioni, peraltro ancora non riconosciute dal GDPR europeo, e che rischiano di creare un lock-in (blocco del fornitore) nella scelta e selezione più adeguata al profilo ed alla caratteristica aziendale di dove dovrà operare)

Il corrispettivo per l’attività prestata è fissato in un importo pari a € 35.000,00 a titolo di compenso comprensivo di IVA e di cassa previdenza nonché oneri generici per la prestazione” (a conti fatti in caso di full time ed organizzazione a carico del professionista/azienda, si andrebbe a percepire un netto mensile minore dell’usciere/portinaio alla porta della struttura)

Costi medi annui divisi per settore conformità GDPR – FSB Inglese – jpg

diploma di laurea in ingegneria oppure in giurisprudenza (corso magistrale) “ (nonostante il Regolamento Europeo, proprio in virtù di un approccio non formalisticamente italiano ma europeo, basa la scelta sulle “competenze e professionalità del DPO e su esperienza e capacità”, più che su meri titoli, peraltro limitativi della concorrenza e del libero mercato)

L’incarico avrà durata dalla sottoscrizione del contratto sino al 31/12/2019, prorogabile eventualmente di ulteriori 6 mesi a semplice richiesta

recedere dal contratto in qualsiasi momento, ad insindacabile giudizio, dando preavviso scritto di 15 giorni” ( partendo dal fatto che come sancito da art.38 del GDPR “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”, leggasi non si può rimuovere come e quando si vuole o licenziare perché scomodo. Inoltre le Best Practice Europee chiariscono ampiamente che si dovrebbe partire da un incarico almeno biennale:”A minimum term of appointment and strict conditions for dismissal must be set out by the organisation for a DPO post. In the EU institutions and bodies, the DPO is appointed for a period between 2 and 5 years, may be reappointed for up to a maximum of 10 years and can be dismissed only with the consent of the EDPS (Un termine minimo di nomina e condizioni rigorose per il licenziamento devono essere stabiliti dall’organizzazione per un posto DPO. Nelle istituzioni e negli organismi dell’UE, l’RPD è nominato per un periodo compreso tra 2 e 5 anni, può essere rinominato per un massimo di 10 anni e può essere revocato solo con il consenso del GEPD)

Risulta preoccupante l’interpretazione che molti “titolari del trattamento” Data Controller ( vedasi amministratori pubblici ed aziendali) stanno dando alla facoltà di redigere bandi, senza avere un formato standard da seguire per la selezione sul mercato del Responsabile Protezione Dati RPD/DPO, obbligatorio per legge in molto casi entro 25 Maggio 2018.

Speriamo in un pronto intervento dell’Autorità Garante, delle Associazioni di riferimento (Federprivacy, AssoDPO, Istituto Italiano Privacy) nonchè del legislatore nazionale  volta a monitorare e garantire una adeguata e trasparente ricerca sul mercato delle figure più adatte a ricoprire il ruolo di DPO, con compensi adeguati e regole certe, che non diano animo ad interpretazioni piuttosto “personalistiche e di comodo” che andrebbero a tutto discapito della collettività nazionale e della garanzia di terzietà che la figura del DPO deve ricoprire.

O.L.I.T. Informatica

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci