Politica
La Privacy dimenticata (e disorganizzata) dalla Regione Calabria
Una disciplina totalmente trascurata e che potrebbe esporre la Regione Calabria a pesanti conseguenze. L’attuale assetto organizzativo in materia di privacy – rivela il sindacato CSA-Cisal – non è adeguato alla normativa comunitaria e non è affatto funzionale. Una situazione che potrebbe costare cara all’Amministrazione visto che il Garante per la privacy potrebbe decidere di comminare una pesante multa.
L’ORIGINE DEL PROBLEMA - L’attuale impianto della Regione Calabria in tema di privacy è stata introdotto con la delibera della Giunta n. 626 del 14 dicembre 2018, con la quale è stato introdotto il regolamento n. 20 del 2018. A ciò è seguito il decreto del presidente di Giunta n. 41 del 2019. La disciplina – ricorda il sindacato CSA-Cisal – assegna le funzioni di delegati del Titolare dei dati ai dirigenti del settore “Affari generali, giuridici ed economici” di ciascun dipartimento. All’epoca i quattordici dirigenti “AGGE” tramite il Dpo (Data protection officer) della Regione, dubbiosi sulla congruità del disegno del meccanismo congegnato, avevano inviato al Garante della Privacy una richiesta di parere. Peraltro, la situazione si è ingarbugliata più recentemente, ossia da quando la nuova Giunta, nell’ambito della riorganizzazione burocratica, ha assegnato le funzioni di delegato del Titolare dei dati al dirigente del settore n. 1 di ciascun dipartimento. Principio cardine della disciplina della Privacy è l’accountability, ossia una concreta “presa di responsabilità” della tutela dei dati da parte del soggetto Titolare del trattamento con una programmazione finanche proattiva. Come vedremo, l’assetto organizzativo della Regione Calabria è totalmente lacunoso.
L’ANOMALIA: I DIRIGENTI DI SETTORE, DELEGATI DEL TITOLARE DEI DATI, NON POSSONO ESERCITARE LE FUNZIONI PRESCRITTE DALLA NORMATIVA COMUNITARIA - Qual è il problema? I dirigenti di settore, secondo le attuali attribuzioni della legge regionale n. 7 del 1996, non possono svolgere tutte quelle attività che invece sono prescritte dal Regolamento (UE) n. 679/2016 (GDPR - General Data Protection Regulation) che fissa la normativa di riferimento in tema di privacy. Infatti, i dirigenti non possono svolgere la funzione di coordinamento e direzione sugli altri colleghi, né effettuare verifiche e controlli sull'attività degli altri dirigenti di settore. Inoltre, il dirigente di settore non può assegnare personale e strumenti per la trattazione delle varie incombenze stabilite in tema di privacy, né tanto meno esercitare funzioni disciplinari all’interno del dipartimento e nemmeno controllare e vigilare sull’attività di un altro dirigente di settore attivando, se del caso, il potere sostitutivo in d’inerzia.
È evidente che tutte queste funzioni, alla luce della legislazione vigente in Regione Calabria, possano essere esercitate solo e soltanto dai direttori generali dei dipartimenti. Il pasticcio è servito: la pletora di compiti che dovrebbero essere assolti in tema di privacy restano quindi solo sulla carta. Un castello di sabbia – osserva il sindacato CSA-Cisal – che rischia di essere spazzato via alla prima folata di vento. L’anomalia è sotto gli occhi di tutti: i dirigenti di settore in tema di privacy non possono concretamente svolgere le funzioni assegnate. Senza contare l’ulteriore rischio che gli atti prodotti da questi ultimi derivando da un regolamento (n. 20 del 2018), ossia una fonte di rango inferiore, rischiano di essere incoerenti con le competenze assegnate dalla legge regionale (di rango superiore) n. 7 del 1996.
UN MODELLO COSI’ INEFFICACE “SOLO NELLA REGIONE CALABRIA” - E dire che tutte queste problematiche sono state più volte segnalate dal Dpo regionale. Le diverse criticità sono ben rinvenibili nelle relazioni annuali in materia e innumerevoli sono state le missive e le richieste di adeguare la disciplina regionale a quanto richiesto dalla normativa comunitaria. La Responsabile della Protezione dei dati è per di più da tempo confinata senza personale e supporto a tentare di far cambiare rotta. In una recente nota, inviata anche al presidente facente funzioni, ha ricordato come “nessuna Regione italiana è organizzata secondo un modello simile da quello adottato dalla Regione Calabria”. Sarà che tutte le altre sono in torto – domanda il sindacato CSA-Cisal – oppure, come presumibile, in errore è proprio la Calabria? A riprova della gravità della situazione, il dirigente del settore n. 6 “Datore di lavoro, sicurezza luoghi di lavoro, privacy-Rapporti con gli Enti Locali e Polizia Locale” del dipartimento Personale, rilanciando la segnalazione del Dpo, invia il 20 novembre una pec di questo tenore: “nessuna regione italiana ha una (dis)organizzazione della privacy come quella calabrese. Organizzazione che risulta priva di accountability, non confacente al GDPR e che espone a responsabilità oggettiva soprattutto i vertici politici regionali. Avendo da tempo proposto – prosegue il dirigente – una più consona organizzazione regionale in materia di privacy ed essendo ancora nei termini per una modifica delle disposizioni regionali in difformità con il GDPR, nel declinare fin da ora ogni sorta di responsabilità, si sollecita la rapida adozione da parte della Giunta regionale degli adeguamenti normativi in materia di privacy a suo tempo presentati”.
LA GIUNTA ADEGUI L’ORGANIZZAZIONE SULLA PRIVACY O SARA’ RESPONSABILE DI EVENTUALI DANNI ALL’ENTE. CHE FINE HA FATTO LA COSTITUZIONE DELL’OIV? - Da mesi ormai la Dpo, e la pec del dirigente del settore n. 6 lo conferma, chiede un adeguamento dell’attuale assetto che regola l’organizzazione e i compiti sulla privacy. La Giunta ha sempre preso, colpevolmente, sottogamba la questione. Eppure, stiamo parlando di un diritto, quello della tutela dei dati, sempre più importante nel mondo. Ma come al solito la Calabria arriva tardi. La Responsabile ha anche minacciato di lasciare l’incarico alla luce dell’inerzia riscontrata: sarebbe una catastrofe perché il settore sarebbe ancora più scoperto. Invitiamo – aggiunge il sindacato CSA-Cisal – il direttore generale del dipartimento del Personale a sollecitare l’esecutivo affinché si agisca di conseguenza e sia adeguatamente preservato il valore dell’Ufficio Privacy e della Responsabile.
Ricordiamo che già la Regione Calabria ha subito un’ammenda durante l’Amministrazione Scopelliti. Se ce ne sarà un’altra, chi pagherà l’eventuale multa del Garante della Privacy? A proposito di dimenticanze – conclude il sindacato CSA-Cisal – che fine ha fatto la nomina dei nuovi componenti dell’Oiv (Organismo Indipendente di Valutazione)? Sono mesi (ormai 10) che l’organismo non è stato più ricostituito e la nuova Giunta non si è degnata di porsi il problema pur sapendo tutti gli effetti negativi di questa vacatio che “bloccano” determinati atti con ripercussioni su tutti i lavoratori. Ad esempio, la performance 2019 è stata deliberata dalla Giunta ad agosto di quest’anno, peccato che senza la validazione dell’Oiv resti tutto nel limbo. Dalla Privacy all’Oiv, la Giunta si dia una mossa.