Fino a quando assisteremo non solo a palesi errori nella procedura di selezione del DPO, ma addirittura a vere e proprie illiceità all’interno dei bandi caricati sul MePA? Certamente, l’impugnazione presso il TAR è un costo, e non tutti gli esclusi vorranno “forzare la mano” per quella che solo all’apparenza sembra una questione di principio. Piuttosto, si confida nell’intervento ispettivo dell’Autorità Garante per la protezione dei dati personali che attenzioni l’adeguatezza dei DPO, facendo prevalere la sostanza – tanto nella selezione quanto nel ruolo operativo – sui formalismi.
La cortina di fumoso silenzio e “possibilismo” che circonda però alcuni criteri selettivi esprime un imbarazzo di sistema, ovverosia quella tendenza all’accettazione di un’ingiustizia confidando che prima o poi si possa avere la propria parte.
Andando nel pratico, guardando ad alcuni bandi caricati sul MePA per la ricerca di un Responsabile della protezione dei dati a volte si trova come criterio di ammissione alla selezione il possesso di un titolo professionale quale l’abilitazione forense o l’iscrizione all’albo degli ingegneri. Ebbene: tale evenienza non è contemplata assolutamente dal GDPR che invece prescrive alcuni requisiti di competenze.
Non solo. Nella descrizione dei compiti che il DPO designato dovrà andare a svolgere si possono trovare alcuni compiti in totale contrasto con l’art. 38.6 GDPR per cui “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”. Viene chiesto ad esempio di svolgere attività di penetration test, condurre la valutazione d’impatto privacy, o addirittura redigere delle memorie difensive in caso di contenzioso o di contestazioni da parte dell’autorità di controllo. In questi casi, già dal bando emerge non solo una confusione sul ruolo, ma soprattutto una posizione di conflitto d’interessi.
Cosa è possibile fare dunque quando ci si trova di fronte a questi bandi contenenti criteri di selezione contrari al disposto normativo? In ogni caso si può sempre inviare una richiesta di chiarimento in merito e segnalazione direttamente all’amministrazione. Qualora si venga esclusi dalla selezione, invece, è possibile il ricorso giurisdizionale amministrativo. Se lo si ritiene opportuno, si può anche segnalare il bando all’Autorità Garante per la protezione dei dati personali affinché ne abbia informazione e possa provvedere di conseguenza.
Certamente, sorprende non poco che visto il tempo trascorso da maggio 2018, nonché dalle linee guida WP243 adottate già in aprile 2017, sussistano ancora questi errori fondamentali sulla selezione del DPO.
