Recentemente un ente pubblico ha attivato una procedura per l’affidamento, mediante RDO sul mercato elettronico della PA, della fornitura:
• del servizio di Responsabile della Protezione dati personali (DPO) ai sensi dell’art. 37 del Regolamento UE 2016/679,
• nonchè dell’attività di consulenza specialistica, formazione e supporto in materia di sicurezza informatica e protezione dei dati personali per l’adeguamento alla normativa europea sulla protezione dei dati personali.
Il capitolato tecnico, nel quale sono descritti, tra l’altro, l’oggetto, i tempi della fornitura, i requisiti specifici del DPO ed i compensi, induce a formulare una serie di riflessioni su come, nonostante siano trascorsi due anni dall’introduzione del GDPR, molti amministratori pubblici non abbiano ancora ben chiaro il tema del conflitto di interessi con riferimento al ruolo e alla funzione del Responsabile della Protezione dei dati Personali (DPO). I capitolati tecnici in molti casi sono “costruiti” in modo non rispondente alla ratio del dettato normativo tanto da potersi prestare a possibili censure di illegittimità da parte del giudice amministrativo eventualmente adito. Senza considerare, peraltro, le possibili sanzioni previste dal GDPR.
Sommario
• Il caso
• Il conflitto di interessi
• Riflessioni sul compenso
• Conclusioni
Il caso
L’appalto in menzione consiste nella messa a gara, in un unico affidamento, di una serie eterogenea di prestazioni professionali. La modalità con cui ciò è avvenuto evidenzia come i suoi estensori abbiano ricompreso in un unico appalto l’attività di Responsabile della Protezione dei Dati Personali e l’attività di supporto e consulenza finalizzate all’adeguamento alla normativa del GDPR. Includendo dette attività nel medesimo affidamento si sono poste le premesse per una concreta ipotesi di conflitto di interessi. Vediamo nel dettaglio cosa prevede il menzionato capitolato tecnico.
I servizi oggetto di affidamento come evidenziato comprendono:
a) l’attività di Responsabile della Protezione dei dati Personali (Data Protection Officer – DPO);
b) l’attività di consulenza specialistica, formazione e supporto in materia di sicurezza informatica e protezione dei dati personali.
Per le attività di cui al punto sub a) è richiesto lo svolgimento dei compiti di cui all’art. 39 del GDPR. Per l’attività di supporto e consulenza, di cui al punto sub b), si elencano una serie di attività e misure che si afferma “…debbano integrarsi con le attività richieste al DPO…”. Tra queste attività sono indicate:
• l’analisi dell’assetto complessivo dell’Ente e la verifica della completezza e conformità agli adempimenti in materia di trattamento e sicurezza dei dati;
• l’elaborazione della mappatura dei processi e individuazione delle aree di rischio, l’elaborazione, ove necessario, della valutazione d’impatto per i trattamenti di dati effettuati;
• l’assistenza nella predisposizione e nell’adeguamento della regolamentazione dell’ente alla vigente normativa in materia di trattamento e sicurezza dei dati personali;
• l’assistenza nella predisposizione e nell’adeguamento di linee guida, disposizioni operative, modulistica, le informative e policy applicative in materia di protezione dei dati personali e sicurezza informatica;
• l’attività di formazione specifica rivolta a tutto il personale coinvolto nelle attività di trattamento dei dati (per l’attività di formazione viene evidenziata la necessità che la stessa sia integrata e coordinata con la formazione in materia di prevenzione della corruzione nonché con la formazione in tema di trasparenza e di accesso, con particolare riguardo ai rapporti tra protezione dei dati personali, trasparenza, accesso ai documenti amministrativi e accesso civico, semplice e generalizzato, nei diversi ambiti in cui opera l’ente);
• il mantenimento e aggiornamento del Registro delle attività di trattamento dei dati personali;
• la gestione della procedura e del Registro dei data breach;
• l’attivazione del registro di segnalazioni e richieste di accesso ai dati personali;
• la formulazione di pareri relativi al bilanciamento tra riservatezza e trasparenza amministrativa alla luce del decreto legislativo n. 33/2013, così come riformato dal Decreto Legislativo n. 97/2016;
• la definizione di procedure e modulistica per l’elaborazione e il controllo degli atti di nomina di responsabili esterni, autorizzati al trattamento e amministratori di sistema;
• il monitoraggio e l’aggiornamento della procedura di gestione degli affidamenti di attività che comportano un trattamento di dati personali a responsabili esterni,
• l’elaborazione di procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento dei dati personali;
• la definizione delle procedure e delle misure di sicurezza da adottare per il trasferimento dei dati in Paesi terzi (extra UE).
Insomma, sono state incluse tutte le molteplici prestazioni necessarie per la costruzione di un Modello Organizzativo e di un connesso Sistema di estione necessario per conseguire un completo adeguamento dell’ente alla disciplina concernente la tutela dei dati personali.
All’articolo 4 del Capitolato, intitolato “Requisiti specifici del DPO”, si legge peraltro che “….al fine di garantire tutte le competenze richieste dal presente capitolato, il servizio può essere eseguito da un gruppo di lavoro, fermo restando l’obbligo dell’esecutore dell’appalto di individuare un capo progetto che verrà nominato DPO, con apposito atto dell’Atto…”.
Nel successivo art. 5, “Funzioni del DPO” vi è il richiamo alle attività del Responsabile della protezione dei dati personali contenute nell’art. 39 del GDPR.
Nell’art. 6, “Durata ed importo dell’appalto”, vi è, infine, una sezione riferita ai compensi: “..Il contratto avrà durata di 24 mesi dalla data di affidamento del servizio. L’importo stimato e posto a base di gara per l’affidamento del servizio in oggetto è di € 39.000,00 al netto dell’IVA di legge…”.
Riepiloghiamo brevemente l’oggetto del contratto: in un unico appalto vengono richieste al futuro affidatario due diverse tipologie di prestazioni professionali che, pur essendo menzionate distintamente, devono, ai sensi dell’art. 2 del Capitolato, integrarsi tra loro visto che le attività del supporto devono inscindibilmente svolgersi con le attività del DPO. Quindi il DPO, oltre a svolgere le sue attività tipiche (previste dal GDPR), deve svolgere anche tutte le attività di supporto nelle tempistiche indicate. Queste prestazioni in sostanza possono essere eseguite direttamente da un unico professionista (riteniamo il DPO) ovvero da un gruppo di lavoro a capo del quale deve essere posto il Responsabile della Protezione dei dati personali.
Il conflitto di interessi
Come abbiamo visto si tratta di un capitolato che potremo definire “all inclusive”, cioè strutturato come un pacchetto unico in cui sono previste prestazioni operative e di controllo. Emerge, quindi, il doppio ruolo assunto dal DPO che da una parte realizza e costruisce per conto del Titolare del Trattamento il cd “sistema di gestione privacy” e dall’altro controlla il Titolare del Trattamento (e quindi indirettamente sè stesso) per quello che è stato realizzato. La soluzione, che attribuisce allo stesso soggetto che ha effettuato (o – addirittura – sta effettuando) l’attività di adeguamento al GDPR dell’ente designante, non appare conforme allo spirito del GDPR. In questo caso viene snaturato il ruolo di garanzia previsto dal GDPR per un DPO che si pone in una condizione di potenziale conflitto di interessi in quanto impedisce l’esercizio imparziale richiesto dalla sua funzione[1]. Nel caso di un ente pubblico con DPO esterno, nominato cioè all’esito di un bando di gara, il tema assume maggiore rilevanza in quanto l’interesse dell’ente a selezionare soggetti dotati di specifici requisiti di affidabilità, indipendenza e autonomia, risponde al principio generale “di buon andamento ed imparzialità” della pubblica amministrazione, sancito dallo stesso art. 97 della Costituzione.
C’è da chiedersi allora con quale autorevolezza ed imparzialità il DPO si potrebbe relazionare con il Titolare per dirgli cosa va o cosa non va nel modello di adeguamento al GDPR da lui stesso predisposto nella veste di un vero e proprio consulente aziendale?
I riferimenti normativi dei principi di indipendenza e autonomia del DPO peraltro vengono ribaditi:
• nel Considerando 97, che stabilisce come “..i DPO dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” e, inoltre, che i DPO dovrebbero assistere Titolare o il Responsabile “nel controllo del rispetto a livello interno del presente regolamento”,
• nell’art.38, che in modo chiaro, al paragrafo 6, evidenzia come il titolare del trattamento debba assicurarsi che i compiti e le funzioni del DPO ”..non diano adito a un conflitto di interessi…”;
• nell’art. 39 (1) (b), che affida al DPO tra gli altri compiti quello di “sorvegliare l’osservanza del presente regolamento” (GDPR)[2].
Come conseguenza delle considerazioni sopra svolte, il Ruolo del DPO può essere assimilato ad un ruolo di governance aziendale, simile ai ruoli di Compliance o Internal Audit, che richiedono indipendenza, autonomia e segregazione dei compiti rispetto a ruoli di management o operativi[3]. In qualche modo è possibile fare un parallelo confronto con la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP), piuttosto che il consulente del sistema di gestione ambientale (e persino i sindaci nelle società di capitale), non possono infatti far parte dell’OdV in quanto si ritroverebbero a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro (la cui materia è contemplata fra i rischi reato 231) ovvero l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D.Lgs. 152/2006 e smi ed alla UNI EN ISO 14001[4].
Il conflitto di interessi si configura, in buona sostanza, quando il DPO si trova o può trovarsi a controllare situazioni di gestione di dati personali da lui stesso determinate per posizione gerarchica o in virtù della propria funzione o incarico: vale a dire, quelle situazioni in cui si trovi, contemporaneamente, a essere controllore e controllato[5].
Il Gruppo istituzionale dell’UE sui RPD a riguardo sottolinea: “…Il RPD non deve trovarsi in una situazione di conflitto di interessi fra le sue funzioni come RPD e altre funzioni ufficiali, in particolare quelle legate all’applicazione dei dispositivi del Regolamento (Art. 24.3). Il conflitto di interesse si origina laddove gli altri compiti che si richiede ad un RPD di assolvere possono direttamente generare interessi avversi a quelli della protezione dei dati personali in seno all’organizzazione cui il RPD appartiene. Se del caso, egli deve avere facoltà di sollevare il problema con l’autorità che lo ha nominato…”[6].
Detto principio, oltre ad essere stato espresso in un recente provvedimento sanzionatorio dell’Autorità di controllo del Belgio[7], è stato ribadito sia nelle “Linee-guida sui responsabili della protezione dei dati (RPD)” del WP29 e nel Position Paper del 30.9.2018 con cui l’EDP sottolinea come le funzioni e i compiti del DPO debbano essere svolti in autonomia e indipendenza da parte dei manager operativi che potrebbero trovarsi a verificare la correttezza di processi di conformità da loro stessi implementati[8]. In questo senso il titolare del trattamento mantiene la piena responsabilità circa l’osservanza della disciplina sulla tutela dei dati personali e deve essere in grado di dimostrare tale osservanza. Se, quindi, il titolare o il responsabile del trattamento assumessero decisioni incompatibili con il GDPR e con le indicazioni del DPO, quest’ultimo deve avere la possibilità di manifestare il proprio dissenso ai decisori.
Autorevoli commentatori hanno evidenziato come il “…ruolo di “controllore” della conformità dell’ente al GDPR assegnato dalla legge al DPO comporta di per sé una situazione di incompatibilità della carica rispetto a ruoli e funzioni aziendali o a incarichi professionali tali da consentire (per posizione o per mansione/oggetto del mandato) un’interferenza del DPO sulla determinazione delle modalità, finalità ecc. del trattamento dei dati, integrando un conflitto di interessi…”[9]. La ratio posta alla base di tale principio non è però riconducibile solo al DPO interno ma anche al DPO esterno in quanto è intrinseco nell’attività consulenziale seguire le “istruzioni” da parte del proprio committente (per es. in merito agli adempimenti prioritari, agli obiettivi da raggiungere, ecc.)[10]. In questi casi Il WP29 consiglia che il contratto di servizi debba essere sufficientemente preciso e dettagliato in modo da indicare esplicitamente le garanzie adottate per evitare che il DPO si trovi o venga successivamente a trovarsi in conflitto di interessi. Si suggerisce, addirittura, di inserire una dichiarazione espressa del DPO in merito all’assenza di incompatibilità.
Cosa succede invece nel nostro caso?
Accade in realtà che il futuro designato sul punto non sia tenuto nemmeno a comunicare alcuna incompatibilità o conflitto di interessi in quanto è il contratto stesso che non lo prevede e che, invece, contiene geneticamente un potenziale conflitto di interesse. L’ente pubblico non si premura di evitare detto conflitto e, anzi, lo determina visto che richiede addirittura un ruolo attivo del DPO (come capo progetto del gruppo di lavoro) nel dare attuazione alla compliance in tema di protezione dei dati personali. L’ente pubblico designante non attuando idonee verifiche preventive sulla effettiva assenza di conflitto correrebbe il rischio di sanzione di cui all’art. 83, 4 parag., lett.a), nel caso in cui non provveda a nominare il DPO secondo le prescrizioni della legge.
Riflessioni sul compenso
Sia consentita, inoltre, una ultima riflessione sull’entità dei compensi previsti a base della gara. La durata dell’affidamento del servizio viene stabilita in 24 mesi e l’importo stimato posto a base di gara (al massimo ribasso) è stabilito in 39.000 euro. In sostanza, ammesso che non ci siano ribassi da parte dei partecipanti alla gara (cosa ovviamente altamente improbabile), viene previsto un compenso di 1.625 euro al mese (in rate trimestrali posticipate dietro presentazione di regolare fattura pagata entro 30 giorni dalla data di emissione, quindi dopo almeno 4 mesi dalle prestazioni). Detto compenso dovrebbe poi ripartirsi tra i vari membri del gruppo di lavoro (nel caso di un gruppo di lavoro costituito da 3 persone il compenso massimo potrebbe quantificarsi in poco più di 550 euro al mese). Appare francamente svilente e mortificante per un professionista lavorare per un compenso di tale entità soprattutto se si considera che, oltre ad una strutturata relazione tecnica[11] da presentare in sede di presentazione delle offerte, l’ente pubblico di converso richiede al DPO, e ai membri dell’eventuale gruppo di lavoro, altissime competenze specialistiche certificate, tra cui:
• l’approfondita conoscenza della normativa in materia di protezione dei dati e in materia trasparenza amministrativa di cui al D.Lgs. 33/2013 e successive modificazioni;
• il possesso di comprovata esperienza di almeno 6 anni nell’ambito della protezione dei dati personali;
• pregresse esperienze relativamente al ruolo di DPO in una pubblica amministrazione;
• approfondita conoscenza del funzionamento del sistema organizzativo dell’ente, della normativa e delle procedure amministrative applicabili;
• adeguata competenza in materia informatica;
• la conoscenza dei temi in materia di prevenzione della corruzione nonché con la formazione in tema di trasparenza e di accesso, con particolare riguardo ai rapporti tra protezione dei dati personali, trasparenza, accesso ai documenti amministrativi e accesso civico, semplice e generalizzato, in ragione delle sessioni formative da realizzare in favore del personale dipendente.
Conclusioni
La procedura esaminata offre, pertanto, lo spunto per sottolineare la tendenza, sempre più diffusa tra gli enti pubblici, a “costruire” capitolati in modo da conseguire l’aggiudicazione di appalti nell’ambito dei quali sono incluse prestazioni professionali che danno adito a possibili conflitti di interesse. Sarebbe quindi auspicabile che il Garante dei dati personali intervenga sulla questione fornendo indicazioni chiare e inequivoche su tale aspetto.
Sotto altro punto di vista si assiste a un fenomeno per cui, a fronte degli altissimi livelli di professionalità e competenza, richiesti vengono riconosciuti compensi non commisurati alla particolarità della funzione e all’impegno professionale spesso di straordinaria complessità.
Di contro in questo modo non si incoraggia la partecipazione a detti appalti di professionisti di alto profilo per effetto di una politica che punta al risparmio, a dimostrazione che il Regolamento Europeo continua ad essere vissuto unicamente come un onere e non come un’opportunità. C’è ancora tanta strada da fare per una cultura veramente orientata alla protezione dei dati.
[1] Colaianni M., I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO).
[2] Le Linee Guida sul DPO del WP29 al punto 3.5 “Sorvegliare l’osservanza del presente regolamento” (GDPR) chiarificano che: “Quale parte dei compiti di sorvegliare l’osservanza del presente regolamento” (GDPR), il DPO può in particolare: a) raccogliere informazioni per identificare le attività di trattamento; b) analizzare e verificare la conformità delle attività di trattamento; c) informare, fornire consulenza e raccomandazioni al Titolare o al Responsabile.
[3] Spreafico G., DPO che “ricoprono altri compiti” e “conflitti di interessi” nelle Linee Guida wp243 del WP29. I framework di ISACA sono strumenti utili per meglio definire una separazione di compiti interna”. L’autore al riguardo evidenzia che nelle attività di Audit, il framework di ISACA ITAF 3, “a Professional Practices Framework for IS Audit/Assurance”, definisce (al punto 2.4) che un ICT Auditor potrebbe avere “Non-Audit service or roles”, come “advice roles”, mantenendo l’Indipendenza Organizzativa e Professionale. Nello specifico “La funzione di Audit dovrebbe evitare di svolgere ruoli non audit in iniziative di Sistema informativo che richiedano l’assunzione di responsabilità di management, perché tali ruoli potrebbero compromettere una indipendenza futura”.
[4] Colaianni, op. cit.
[5] Perugini G., Errori frequenti nell’applicazione della normativa “privacy”. Il DPO in conflitto di interessi.
[6] Rete dei RPD delle Istituzioni e degli Organismi dell’UE, Standard Professionali per i RPD delle Istituzioni e degli Organismi dell’UE che lavorano ai sensi del Regolamento (CE) 45/2001 (nota 241, supra), p. 15.
[7] In data 28 aprile 2020 l’autorità per la protezione dei dati belga ha sanzionato un’azienda per 50.000 euro, rilevando irregolarità riguardanti il conflitto di interessi del DPO: la figura non era sufficientemente indipendente per ricoprire il delicato ruolo.
[8] Cfr. par. 4.5 Position Paper: “A conflict of interests may typically also arise (even for lower level positions), (…) when a DPO who is also part of the compliance team must assess compliance checks and related data processing that they have designed”.
[9] Butti G., Perugini M.R., Il DPO ed il rischio di conflitto di interessi: profili e delle responsabilità, in CyberSecurity360 del 23 aprile 2019.
[10] Mentre l’art 39 del GDPR al 3 paragrafo evidenzia che: “.. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti…”
[11] La commissione valuterà la relazione tecnica con particolare riferimento a: 3.1. modalità con cui l’operatore economico intende sviluppare la mappatura dei processi, l’individuazione delle aree di rischio, l’eventuale valutazione di impatto per i trattamenti di dati effettuati dall’ente l’aggiornamento delle relative informative da fornire agli interessati ai sensi degli artt. 13 e 14 del GDPR (max 20 punti) 3.2. modalità con cui l’operatore economico intende supportare l’adeguamento dei regolamenti, delle policies, delle linee guida e della modulistica alla luce della vigente normativa in materia di protezione dei dati personali (max 20 punti) Saranno favorevolmente valutate le proposte maggiormente attinenti e adeguate alla realtà specifica dell’ente, la cui organizzazione interna e complessità è desumibile dalla presentazione articolata che ne viene fatta sul sito istituzionale.
Dott. Alfredo Sanfelice
Consulente privacy e antiriciclaggio, DPO
Dott. Gaetano Mastropierro
Consulente privacy e antiriciclaggio, DPO
Articolo pubblicato su Altalex-quotidiano giuridico