Si sa, la vita è fatta di scelte. Ma nella compliance GDPR, in forza del principio di accountability, il titolare deve compiere delle scelte per garantire il rispetto della normativa in materia di protezione dei dati personali. E saperle motivare.
Una di queste è la scelta del DPO. E così l’EDPB ha avviato un’azione coordinata per controllare il rispetto degli artt. da 37 a 39 GDPR, con un focus su posizione nell’organizzazione e adeguatezza delle risorse messe a disposizione dall’organizzazione.
Per questo motivo saranno somministrati dei questionari da parte delle autorità di controllo. Dai feedback ricevuti verranno avviate istruttorie e eventuali azioni correttive. In pratica, organizzazioni e professionisti devono rispondere ad una domanda: il DPO designato è adeguato? Per capirlo, forse è bene innanzitutto aver chiaro prima di tutto il perchè si va a scegliere un DPO. Non solo: anche perchè si vuole scegliere proprio quel DPO. E dopo queste riflessioni, la domanda sarà quello giusto per me? propria dei romanzi rosa saprà ben ispirare i criteri di audit e controllo a tale riguardo. A meno che, ovviamente, non si preferisca una sorprendente spregiudicatezza. Che non è proprio il risk-based approach richiesto dalla norma, e mal si concilia con l’idea di accountability.
Bisogna ammettere una cosa, però. Il mercato dei DPO è piuttosto affollato. Dal 2018 ad oggi molti professionisti hanno scelto di proporsi come DPO dal 2018 come metodo di accaparramento o fidelizzazione di clienti. E molte organizzazioni hanno pensato che una volta designato un DPO non c’era più nulla da fare per adeguarsi al GDPR. Entrambe le categorie, però, sono destinate a rimanere deluse nelle aspettative.
Perché non scegliere un DPO
Bisogna chiarire una cosa: il DPO non è inteso come un adempimento formale. Sia nelle ipotesi di designazione obbligatoria sia nelle ipotesi in cui la designazione è facoltativa, infatti, o è in grado di fornire un contributo efficace e sostanziale alla compliance GDPR dell’organizzazione, o altrimenti espone il titolare o il responsabile ad un rischio di sanzione. Non può essere un occasionale spettatore ma deve garantire continuità d’azione e d’intervento. Anzi: deve sapersi porre in modo proattivo, avvalendosi delle risorse messe a disposizione dell’organizzazione. E rimanere in una posizione di indipendenza funzionale.
Nelle ipotesi di designazione facoltativa, anche l’opzione alternativa di non scegliere un DPO deve essere oggetto di attenta valutazione. Può darsi infatti che occorra una differente figura professionale che possa intervenire nella valutazione d’impatto anziché limitarsi a sorvegliarne lo svolgimento, ad esempio. O che si trovi ad essere coinvolto in alcuni flussi di dati personali come designato, con una posizione incompatibile con quella di DPO.
Scelta e responsabilità
Scegliere o non scegliere il DPO, allora? Il dilemma ovviamente sussiste solo nelle ipotesi di designazione facoltativa. Ma una volta che il DPO è designato, la sua adeguatezza si valuta sui criteri indicati dalla norma senza distinzione di nomina obbligatoria o facoltativa. E dunque i criteri riguardanti qualità professionali, capacità di svolgere i propri compiti e posizione all’interno dell’organizzazione non sono derogabili. E in ogni caso la principale responsabilità ricade sul soggetto designante, il quale al più potrà avere un diritto di rivalsa nelle ipotesi in cui il DPO abbia agito con dolo o colpa grave nello svolgimento dei propri compiti, o altrimenti sia stato inadempiente rispetto al contratto di servizi sottoscritto.
Attenzione: dal punto di vista del rispetto della norma, i criteri devono essere assolti in modo permanente. Una sopravvenienza, quale il mutamento di contesto o rischi, può ben far venire meno l’adeguatezza del DPO designato. Con tutte le conseguenze del caso.
Di questa e altre amenità, ne parlo anche nella mia newsletter di LinkedIn.