Delle 4 linee guida promesse dal FabLab entro fine anno, il WP29 ha adottato il 13 dicembre la prima, dedicata al ruolo del DPO. Non si tratta ovviamente di nuove normative ma di interpretazioni, esempi e best practices, estremamente opportune in quanto (come dichiarato dal WP29 Stesso) il GDPR contiene diverse ambiguità.
Tralascio le specifiche sulle regole di obbligatorietà della nomina, per le quali a mio parere prevarranno norme nazionali. Anche sulle caratteristiche professionali della figura si dicono solo cose scontate tipo che “maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO”. Interessante invece l’attesa precisazione sulla possibilita di nominare DPO non solo una persona (interna o esterna) ma anche un’entità esterna: “La funzione del DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o di un organizzazione al di fuori dell’organizzazione del Titolare o del Responsabile”; tanto e vero che non sarà indispensabile indicare il nome di una persona fra i riferimenti di contatto da rendere pubblici: “I dati di contatto del DPO dovrebbero includere informazioni che consentano alle persone interessate e alle autorità di controllo di raggiungere il DPO in modo semplice (un indirizzo postale, un numero di telefono dedicato e un indirizzo di posta elettronica dedicato). […] l’Articolo 37 (7) non richiede che i dati di contatto pubblicati debbano includere il nome del DPO “.
Mi soffermo sul ruolo e la posizione in organigramma del DPO. La prima questione è se il DPO sia responsabile in prima persona dell’implementazione della privacy in azienda (coincidendo quindi con il Privacy Officer o il Compliance Manager) o se sia invece una figura di controllo (necessariamente distinta dalle precedenti, per evitare di controllare sé stesso): a tale proposito sembrerebbe che il WP29 prenda posizione a favore della seconda ipotesi. Già nell’introduzione si legge infatti “i DPO non sono personalmente responsabili in caso di mancato rispetto del GDPR. Il GDPR rende chiaro che è il Titolare o il Responsabile che è tenuto a garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformità con le sue disposizioni “.
Quanto alla posizione, si legge che il DPO dovrà essere “coinvolto” su tutte le questioni che si riferiscono alla protezione dei dati: se ne deduce che sarà coinvolto in attività in carico ad altre figure. Per lo svolgimento di Valutazioni di Impatto sulla Protezione dei Dati, “il GDPR prevede esplicitamente il precoce coinvolgimento del DPO e specifica che il Titolare deve chiedere il parere del DPO nello svolgimento di tali valutazioni d’impatto”: siamo di nuovo al “coinvolgimento” ed alla richiesta di un “parere”. Per facilitare la conformità al GDPR bisognerà “informare e consultare” il DPO. Nel caso l’organizzazione decida di non seguire le raccomandazioni del DPO, si raccomanda di documentare le ragioni del disaccordo; ne discende che il DPO è visto in qualche modo come terzo rispetto all’azienda, in quanto difficilmente potrebbe essere in disaccordo con sé stesso… Nel paragrafo sull’autonomia del DPO, si stabilisce poi che “il Titolare o il Responsabile rimane responsabile per il rispetto della normativa sulla protezione dei dati e deve essere in grado di dimostrare la conformità. Se il Titolare o il Responsabile prende decisioni che sono incompatibili con il GDPR e il consiglio del DPO, al DPO dovrebbe essere data la possibilità di chiarire la propria opinione dissenziente a quelli che prendono le decisioni”. Sembrerebbe che il DPO esprima solo un parere ma le decisioni le prendano altri, quindi saremmo di fronte ad una figura di controllo, priva di responsabilità esecutive. Va tuttavia rimarcato che nel paragrafo sul conflitto di interesse, elencando (a titolo di esempio) le figure incompatibili col ruolo, si citano “amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT” e altre figure non apicali, se tali posizioni portano alla determinazione delle finalità e modalità del trattamento: dalla lista sono assenti Privacy Officer o Compliance Manager, che quindi potrebbero apparire figure non incompatibili con il DPO in quanto non determinano finalità e modalità del trattamento.
Venendo ai compiti, torniamo esplicitamente ad un “controllo del rispetto del GDPR”, azione nel corso della quale il DPO può raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Qui la posizione del WP29 si fa perentoria: “Il controllo della conformità non significa che sia il DPO che è personalmente responsabile nel momento in cui vi è un caso di non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, che è tenuto ad ‘attuare misure tecniche e organizzative per garantire e per essere in grado di dimostrare che il trattamento viene eseguito in conformità del presente regolamento’. Il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO “. Analogo approccio è tenuto riguardo al ruolo del DPO nei confronti dello svolgimento di Valutazioni di Impatto sulla Protezione dei Dati. Più sfumata invece la posizione riguardo alla tenuta del Registro dei Trattamenti: pur ribadendo che la responsabilità di questo adempimento è in carico al Titolare o al Responsabile e non al DPO, si riconosce che di fatto sarà lui a tenere il registro “come uno degli strumenti che permettono al DPO di svolgere i suoi compiti di controllo della conformità “.
Interessante infine il cenno alla prioritizzazione delle azioni in base ad un approccio risk-based: come mi è capitato di rispondere nel corso di una lezione alla domanda di uno studente “ma come faccio a fare tutto subito?”, si suggerisce di definire un piano di azione che attribuisca priorità alla messa in compliance dei trattamenti che presentano maggiori rischi per la protezione dei dati “tenendo conto della natura, la portata, il contesto e le finalità del trattamento”. Il WP29 lascia intendere che un approccio selettivo e pragmatico consentirà alle aziende di raggiungere buoni risultati in termini di accountability.
TROVATE qui il documento WP 243 Orientamenti in materia di responsabili della protezione dei dati
e qui le FAQ (che non aggiungono molto) WP243 ALLEGATO – DOMANDE FREQUENTI