Come controllare il DPO

[rank_math_breadcrumb]

“Chi controlla il controllore?” nel GDPR non è affatto un pensiero filosofico bensì una più concreta domanda circa la possibilità di controllare il DPO. Ovviamente, cercando di capire anche come. Infatti, non è infrequente infatti un’erronea narrazione diffusa in forza della quale il DPO sembra quasi un intoccabile all’interno dell’organizzazione, quasi a volerne invocare un’insindacabilità del comportamento.
La fonte di convinzione sta in una lettura distorta – in modo più o meno consapevole – delle garanzie di autonomia ed indipendenza della figura:

[…]”Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti.”[…] (art. 38.3 GDPR).

Si può infatti parlare di un generale divieto di penalizzazioni dirette o indirette del DPO da doversi intendere in senso estremamente ampio, comprendendo una gamma che spazia dalla minaccia di conseguenze negative alla rimozione o sostituzione, nonché la limitazione delle risorse. Ebbene, tale limite riguarda esclusivamente all’ambito dello svolgimento dei compiti propri della funzione e non deve affatto essere inteso come di portata assoluta. Altrimenti questo andrebbe sostanzialmente a compromettere la responsabilizzazione dell’organizzazione. Bisogna infatti considerare che il designante è chiamato a rispettare tanto l’art. 37 che l’art. 39 GDPR, i quali indicano requisiti da mantenere nonché i compiti che il DPO è chiamato a svolgere. Di conseguenza, l’organizzazione non solo può ma anzi deve essere in grado di controllare la correttezza del suo operato e il mantenimento delle qualità professionali. E in caso di inadempimenti, essere in grado di intervenire anche con l’extrema ratio della rimozione.

come controllare il DPO

Controllare il DPO non è mai questione di se, ma di come. E quanto detto vale sia nell’ipotesi di DPO interno che esterno. Con alcune differenze di cui è bene tenere conto.

Controllare il DPO interno

Nel controllo del DPO interno, occorre considerare innanzitutto la presenza dei punti di contatto con la normativa giuslavoristica e dei limiti che la stessa già pone a tutela del dipendente anche con riguardo al CCNL di riferimento. A questi si devono aggiungere tutte le tutele specifiche richiamate dal GDPR che ad esempio possono contemplare la mancata o ritardata promozione, il blocco delle progressioni di carriera, la mancata concessione di incentivi rispetto ad altri dipendenti, per arrivare fino alla sostituzione nel ruolo. Le misure che in tal senso vengono prese in considerazione in sede ispettiva riguardano innanzitutto la stabilità del contratto, nonché la presenza di tutele contro l’ingiusto licenziamento al fine di valutare l’indipendenza dell’operato del DPO.

Come espressamente stabilito dalle Linee guida WP243 sui Responsabili della Protezione dei Dati, il rapporto di lavoro è suscettibile di variazioni o finanche di un’interruzione per effetto di fatti che esulano dall’aver svolto i compiti propri del DPO fra cui si possono considerare come esempi emblematici l’inadempimento degli obblighi generali di correttezza e fedeltà. Obblighi che vanno declinati ovviamente anche con riguardo allo svolgimento delle mansioni di DPO e per cui è previsto il controllo datoriale.

DPO esterno e contratto di servizi

Nell’ipotesi di DPO esterno i criteri di controllo devono essere riferiti all’art. 39 GDPR e, nel dettaglio, al contratto di servizi stipulato che ne regola le modailtà di svolgimento. Dal momento che il DPO è un fornitore, può essere inoltre soggetto a audit da parte dell’organizzazione per il controllo qualità e ciò non è considerato un’interferenza con lo svolgimento della funzione.

La presenza di clausole risolutive espresse, così come la previsione di scadenze e rinnovi sono tutti elementi suscettibili di valutazione in sede ispettiva al fine di considerare la sussistenza di garanzie in ordine alla tutela di autonomia e il rispetto del generale divieto di penalizzazioni.

La privacy spiegata bene e fatta meglio. Artigianale. A misura d’uomo.

Servizi

DAL BLOG