Data Protection Officer, un ruolo complesso: il decalogo per evitare errori

La figura professionale del DPO è contraddistinta da una considerevole complessità per l’alta competenza e specializzazione richiesta. Difatti il DPO è designato in funzione delle qualità professionali, in particolare della co­noscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello pro­fessionale, come noto può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Fare il Data Protection Officer in Italia: un bilancio dei primi tre anni

La dura vita da DPO

Lo stesso DPO deve essere prontamente e adeguatamente coinvolto in tutte le que­stioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabi­le della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

Inoltre, il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titola­re del trattamento o dal responsabile del trattamento per l’adempimento dei pro­pri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Ma come ben sappiamo non sempre nella pratica tali disposizioni possono essere applicate in modo agevole e spesso bisogna fare i conti con situazioni molto complesse dove il DPO interno rischia di vedersi pesantemente penalizzato per contrasti con alti dirigenti che, svolgendo un ruolo fondamentale in ambito aziendale, finiscono per condizionare la stessa titolarità poco propensa a difendere il DPO in simili circostanze.

GDPR, un bilancio dei primi tre anni di applicazione: effetti, traguardi e prossimi step

Questo, purtroppo, è solo uno dei problemi che il responsabile della protezione dei dati deve affrontare nello svolgimento quotidiano della propria attività e cerchiamo adesso di capire quali sono gli errori che un DPO sia esso interno o esterno deve assolutamente evitare.

Il decalogo per il DPO

• Deve creare un clima di consapevolezza circa gli aspetti inerenti la protezione dei dati personali nell’ambito della realtà organizzativa di riferimento. Non dimenticare mai di far presente al titolare del trattamento che la formazione del personale è fondamentale.
• Contribuire a far crescere quel forte senso di responsabilizzazione nell’ambito dell’articolazione organizzativa del titolare del trattamento coinvolgendo i responsabili delle diverse unità organizzative e dialogando sempre con coloro che sono poi i referenti del titolare. Abbiamo visto che per il DPO interno questa non è un’attività facile, ma va evitato assolutamente qualsiasi contrasto che potrebbe far nascere grosse criticità.
• Non dimenticare mai che il lavoro del DPO presenta aspetti di interdisciplinarietà fondamentali. Quindi è necessario curare gli aspetti organizzativi, gestionali, informatici, comunicativi senza dimenticare nulla. Anche piccoli accorgimenti possono aiutare il titolare a rispettare quel fondamentale principio di accountability. In sede di ispezione il Garante terrà conto anche di queste attenzioni. Un DPO esterno naturalmente è avvantaggiato sotto questo aspetto, poiché probabilmente è supportato da diversi collaboratori, ma anche il DPO interno, specialmente in realtà organizzative di notevoli dimensioni, deve convincere il titolare del trattamento circa la necessità di costituire un gruppo di diverse professionalità che possano dare una mano al DPO nello svolgimento di questa complessa funzione.
• Evitare di limitare i rapporti con la titolarità solo attraverso contatti informali, ma documentare tutto ricorrendo a comunicazioni scritte, predisposizione di verbali di riunione, relazioni, garantendo quella tracciabilità che assume la dovuta rilevanza qualora dovessero sorgere dubbi, incomprensioni specialmente conseguenti a problematiche ispezioni.
• Ricordare al titolare di essere coin­volto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il GDPR prevede espressamente che il DPO vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. Assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua infor­mazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamen­to e il rispetto del principio di privacy (e protezione dati) fin dalla fase di progetta­zione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno del­la struttura del titolare/responsabile. Inoltre, è importante che il DPO sia annovera­to fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento. Ciò significa che occorrerà garantire:

• • • che il DPO sia invitato a partecipare su base regolare alle riunioni del manage­ment di alto e medio livello;
    • la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impatta­no sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le in­formazioni pertinenti in modo da poter rendere una consulenza idonea;
    • che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccor­di, il WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
    • che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
• Fare attenzione all’atto di nomina/designazione per il DPO interno oppure al contratto per il DPO esterno poiché spesso non ci si attiene ai classici compiti del DPO, ma si chiede anche qualcosa in più. Naturalmente se il compenso è commisurato all’incarico ricevuto che ben venga, ma è necessario che il DPO sappia bene quali sono le ulteriori attività che gli vengono chieste al fine di evitare problemi successivi di incomprensione.
• Nel caso di DPO esterno evitare di accettare incarichi con compensi irrisori o comunque non adeguati che sviliscono la professionalità e rischiano di banalizzare un lavoro che invece è molto complesso. Per lo stesso motivo nel caso di DPO interno rifiutare categoricamente l’incarico quando lo stesso non ha carattere di esclusività ma viene condiviso con altre incombenze, in caso contrario, il rischio è che le attività cui il DPO è chiamato finiscano per essere trascurate a causa di conflitti con altre priorità.
• Aiutare il titolare a inquadrare correttamente quei rapporti di contitolarità, responsabilità ex art. 28 del GDPR o comunque anche quei casi di titolarità autonoma che spesso vengono poco considerati. La giusta impostazione delle posizioni soggettive consente poi di evitare errori e facilitare la definizione dei diversi rapporti. In questa attività potranno essere molto utili le recenti linee guida del Comitato europeo sulla protezione dei dati personali.
• Con riferimento al DPO esterno evitare di assumere un numero spropositato di incarichi relativi a titolari del trattamento lontani territorialmente ed estremamente eterogenei. Un simile comportamento sicuramente non è indice di professionalità e alla lunga può creare molti problemi.
• A prescindere dagli obblighi del titolare o responsabile del trattamento predisporre un proprio registro delle attività di trattamento che dovrà diventare un punto di riferimento costante della propria attività per monitorare i diversi trattamenti e suggerire le soluzioni migliori.