privacy UE

Potrei definirlo: breve diario di un candidato DPO nella P.A. Venuto a conoscenza che una importante struttura pubblica (non intendo dire quale) di una città del nord aveva indetto una selezione (con procedura di “affidamento diretto”, visto il modesto compenso fissato, “molto” al di sotto della soglia dei 40.000 euro prevista dal Codice Appalti) per la designazione di un Data Protection Officer “esterno” (cioè soggetto non dipendente ma ingaggiato in forza di un contratto di servizi) ho avuto la “brillante” idea di candidarmi. Un po’ per curiosità, un po’ perché c’è sempre una prima volta!

Ho quindi presentato (come da istruzioni) domanda via PEC (ma non era necessario firmarla digitalmente, essendo sufficiente firmarla a mano e poi scannerizzare il foglio) allegando un numero sterminato di incartamenti (22 fogli firmati a mano e scannerizzati, compresa la dichiarazione/autocertificazione che le fotocopie allegate dei dépliant dei convegni/workshop da me frequentati sulla privacy, come relatore o spettatore, erano “conformi” ai dépliant “originali”).

Il giorno fatidico (qualche giorno fa) mi sono presentato davanti alla Commissione selezionatrice. Erano presenti altri candidati?  Ovviamente si, ma non molti. Sicuramente più giovani di me (ad occhio, sui 30 anni). Tutti assieme nella stessa stanza (anzi, era un corridoio) aspettando di essere chiamati uno ad uno. Nell’attesa un candidato, come un bravo studente in attesa dell’esame, ripassava un libro (ma non era quello che ho scritto io sul DPO!).

Sono stato il primo ad essere esaminato, grazie all’ordine alfabetico seguito.  Anzi, se prima i presenti ignoravano (ovviamente) il mio cognome, dopo la chiamata ad alta voce (“chi è Comellini? Venga!!), l’hanno conosciuto!

La Commissione? Composta da 5 persone: il responsabile del personale, il responsabile dell’informatica, un avvocato interno e due gentili signore (di cui non ricordo la qualifica).

Mi hanno fatto una vera interrogazione, alternandosi nelle domande (proprio come all’esame orale da procuratore legale, che sostenni nel 1993. Un vero tuffo nel passato!) e ponendo quesiti anche su casi concreti (potenzialmente verificabili o, forse, già verificati) riguardanti la struttura: “Lei, se fosse il DPO, che farebbe in quella situazione? Dica!”

Altre domande: “Se fosse il DPO, che farebbe nei primi 30 giorni?”, “Lei si è mai rivolto al Garante della Privacy?“.

L’esito del colloquio (e della selezione)? Lo ignoro!  Anzi, do per scontato che gli altri candidati fossero più preparati di me (o, forse, più adatti per operare in quella struttura).

Qualche mia personale impressione? Forse una certa confusione tra i ruoli di titolare/responsabile del trattamento e DPO. Anzi, mi è sembrato (ma posso avere capito male) che più che un DPO (come lo descrive il Regolamento) cercassero un soggetto che dovrà occuparsi della “compliance”, cioè di adeguare la struttura al GDPR.

La cosa non mi sorprende. Sono molti (nel settore privato, a me più affine) quelli convinti che basta nominare il DPO e poi ci pensa lui a metterci in regola!

Resta il fatto che, quando ho fatto presente alla Commissione che il DPO non assume responsabilità dirette nei confronti di terzi e degli interessati al trattamento (responsabilità che permangono in capo al titolare/responsabile del trattamento) la signora che avevo davanti, con tono sarcastico, ha sbottato: “Come? Allora se non è lui il responsabile cosa lo nominiamo a fare?”.

Alla fine, credo di non essere piaciuto granchè alla Commissione esaminatrice. Peccato! Ma me ne farò una ragione!

Tra i compiti richiesti al nominando DPO anche la sua presenza assidua (quasi costante) in sede.  Ho fatto timidamente notare che il DPO non è un dipendente che deve timbrare il cartellino e fare atto di presenza. Non credo di essere stato convincente!

All’inizio del colloquio la Commissione esaminatrice mi ha chiesto: “Ci dica, Lei di cosa si occupa?” (nonostante avessi inviato via PEC anche il curriculum). Dopo aver spiegato che faccio l’avvocato da 25 anni ed indicato le materie che prevalentemente tratto, ho aggiunto che sono particolarmente attivo su Linkedin, pessima idea! Mi hanno guardato allibiti. Sono partito male! Ahi ahi …. questi social network!!!!

Articolo di Stefano Comellini autore di

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente. L’esposizione è lontana dalla banale ricostruzione manualistica degli...



© RIPRODUZIONE RISERVATA


1 COOMENTO

SCRIVI UN COMMENTO

Scrivi il tuo commento!
Inserisci il tuo nome