Ultimamente, in vista del termine di entrata in vigore del GDPR, il 25 maggio, c’è stata una inflazione di offerte al ribasso (dal punto di vista economico) per accaparrarsi quanti più incarichi possibili di DPO, da parte di una pletora indistinta di società, professionisti e anche soggetti non ben qualificabili, alcuni che si presentano come DPO certificati, quando questa certificazione con valore legale in Italia non esiste ancora.
Gdpr, ecco le vere funzioni del DPO: “attenti, non è un mestiere”
Soluzioni stravaganti e conflitto d’interessi
Molti soggetti autoqualificatisi esperti, offrono addirittura soluzioni tutto compreso a dir poco stravaganti, ovvero consulenza legale e informatica per l’adeguamento dell’ente o della impresa, alla normativa europea ed italiana, e si candidano contemporaneamente anche alla nomina di DPO; ignorando del tutto il possibile conflitto di interessi che così si verrebbe a creare nel caso in cui la consulenza andasse a determinare finalità e o modalità e tipologie del trattamento, e che rende il doppio incarico a rischio, con conseguenze sul rispetto della disciplina europea.
Questo fenomeno è stato criticato da molteplici commentatori ed esperti, di provata esperienza in materia, tra questi l’ex Garante della Privacy Italiano, Francesco Pizzetti, che non ha mancato di mettere in guardia dal fenomeno dell’accaparramento degli incarichi, in assenza di possibilità poi di poterli materialmente onorare tutti.
Quali sono le caratteristiche del DPO
Per comprendere meglio chi sia il DPO o RDP, vediamo quali devono essere le sue caratteristiche.
Questa è una figura nuova nel panorama italiano, ma già esistente da tempo in europa, che ha una duplice funzione, la principale è quella di soggetto con competenza in materia di tutela dei dati personali, con piena ed ampia autonomia anche economica che deve essergli garantita per volontà di legge, dal Titolare del Trattamento o dal Responsabile; è un vero e proprio controllore e consigliere sull’applicazione della norma in materia dei dati personali all’interno delle strutture ove la sua nomina è obbligatoria. E al contempo è anche il soggetto di collegamento diretto tra l’autorità di controllo (il Garante) e il Titolare del Trattamento e/o il Responsabile ove presente.
Quando è obbligatorio il DPO nelle aziende private
La sua nomina è sempre obbligatoria nelle pubbliche amministrazioni, mentre nelle aziende private lo è soltanto quando ricorrano determinate tipologie di trattamenti elencati nelle lettere b) c) del comma 1 dell’art. 37 del regolamento europeo, ovvero per trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o per il trattamento su larga scala di categorie particolari di dati personali come quelli che il vecchio codice italiano qualificava come sensibili e sanitari, o di dati relativi a condanne penali e a reati.
Quindi non è sempre obbligatorio nominare il Responsabile della Protezione dei Dati nella aziende o entità private. Ma, vista la sua funzione di controllore e quindi consigliere del Titolare e del Responsabile del trattamento, qualche azienda potrebbe essere tentata, in via precauzionale, di nominarlo ugualmente, soprattutto in ipotesi dove dalla realtà dei trattamenti effettuati, non sia chiaro stabilire se ci sia o meno l’obbligatorietà, mancando attualmente una casistica concreta giudiziaria e una guida attendibile da parte dell’autorità di controllo.
Il DPO è ‘immune’ da sanzioni e richieste di danni
Un aspetto importante del DPO, è che non risponde della violazione compiuta dall’ente o dall’azienda in cui è stato nominato, ma ne rispondono i relativi Titolari e Responsabili a seconda e nei modi gradati dalla legge. Il DPO è quindi ‘immune’ da sanzioni e richieste di danni provenienti dagli interessati. Non è immune, però, da responsabilità derivanti dalla violazione degli obblighi contrattuali che lo legano a chi lo ha nominato mediante un contratto di servizi, così come prescritto dalla norma europea.
Il DPO o RDP può essere sia una persona fisica che una persona giuridica, come indicano le linee guida WP243rev.01 del gruppo di lavoro Articolo 29. In ogni caso, può sempre farsi aiutare ad espletare la propria funzione, da assistenti e soggetti comunque rispondenti alle qualità professionali necessarie al compito proprio della sua funzione.
La scelta di un DPO interno o esterno, quali fattori considerare
Non meno importante è la scelta di un DPO interno od esterno all’ente o all’azienda, questo aspetto è condizionato dal dover nominare all’interno, un soggetto che non sia in conflitto di interessi, cosa spesso non facile, un soggetto che abbia una autonomia così ampia nelle sue scelte, che potrebbe confliggere con i poteri di altri soggetti e venir da questi condizionato. In questi casi la scelta obbligata è quella di un DPO esterno.
Quanti incarichi può assumere un DPO
Una volta inquadrata la figura del DPO o RDP, si può meglio cercare di capire quanti incarichi può assumere, e quali sono i fattori che vanno considerati per cercare di valutare se ci sono limiti o meno al cumulo delle nomine.
Da questo punto di vista assume importanza sia la dimensione strutturale del Titolare e del Responsabile che nominano il DPO che quella dello stesso DPO.
Ovvero un Titolare azienda o PA con articolazioni logistiche estese, sarà molto più impegnativo da seguire, così allo stesso tempo se il DPO avrà una struttura di collaboratori estesa, potrà meglio assumere incarichi anche da aziende ed enti articolati logisticamente su vasti territoriali e o in più stati europei.
La natura e la quantità dei dati personali trattati
Altri elementi importanti, nel cercare di comprendere quanti incarichi il DPO potrà assumere contemporaneamente, poiché rappresentano l’oggetto della tutela della norma, sono la natura e la quantità dei dati personali trattati, nonché la finalità del trattamento, che determinano insieme alle misure adottate dal Titolare, il grado di rischio. E’ ovvio che in una struttura con molti dati e alto rischio, il grado di attenzione e quindi coinvolgimento di un DPO sarà elevatissimo e si ripercuoterà sulla sua disponibilità ad ssumere più incarichi, anche se questo aspetto è sempre poi temperato dalla maggiore informatizzazione e utilizzo di collaboratori adeguati da parte dello stesso.
La tecnologia della struttura assistita
Altra caratteristica che influisce in modo determinante è la tecnologia della struttura assistita dal DPO e quella del DPO stesso. Quanto più la tecnologia è avanzata in entrambi i caso tanto più un solo DPO potrà onorare adeguatamente più incarichi contemporaneamente.
Non meno importante è l’aspetto dell’obbligatorietà o meno di un DPO; come abbiamo visto anche chi non è obbligato, per ragioni varie, a fronte dell’incertezza della norma nella sua portata applicativa alle diverse realtà aziendali e professionali private, potrà scegliere di nominarlo, in via meramente precauzionale.
Una funzione di garanzia
Nei casi di DPO obbligatorio, questo assume una funzione di garanzia per una adeguata tutela dei diritti e le libertà fondamentali delle persone fisiche come precisa l’art. 1 comma 2 del regolamento; e quindi si può ragionevolmente ritenere che anche e soprattutto la capacità oggettiva di poter onorare l’incarico, sia un elemento essenziale del DPO e rilevi anche dal punto di vista pubblicistico.
Per cui assumere e anche affidare incarichi obbligatori senza poterli adeguatamente onorare e senza preventivamente accertarsi della qualità e possibilità del DPO di poterlo fare, potrebbe comportare conseguenze non indifferenti, per ora solo ipotizzabili, ma che il futuro prossimo ci svelerà non appena partiranno i prevedibili e naturali controlli da parte delle autorità preposte.
Ma nel caso di DPO nominati da privati, solo per precauzione e in attesa del maturare di una prassi o di giurisprudenza e documenti dell’autorità di controllo, sul tema dell’obbligatorietà, che poi alla prova dei fatti si dovessero rilevare nomine non obbligatorie, in questo caso le conseguenze ricadrebbero solo e soltanto nel rapporto privato tra Titolari e responsabili del trattamento e DPO non obbligatori.
Velocità e facilità d’intervento
A mio parere, a conclusione di questa analisi, si può ragionevolmente sostenere che la capacità, da parte del DPO, di poter avere un numero più o meno elevato di incarichi, non si possa misurare con un parametro meramente numerico e con la distanza fisica dalla sua assistita, ma dalla capacità e facilità di intervento anche da remoto o con altri strumenti informatici che il DPO può fornire.
Quanto più la sua struttura e quella dei suoi clienti siano informatizzate, tanti più incarichi questo potrà assumere, ed onorare, senza violare i requisiti stabiliti più o meno direttamente dalla legge.
