A meno di un mese della piena efficacia del GDPR capita sempre più spesso di osservare discussioni, on line o durante i convegni, sul ruolo del DPO, sulle competenze richieste, sulle possibili attività operative dello stesso, sul fatto che possa o meno svolgere la sua attività presso l’azienda dove ha implementato il GDPR, sulla corretta retribuzione di tale figura…
È interessante notare come ancora ci si interroghi se sia meglio che il DPO sia un legale, con qualche competenza informatica, o un informatico con competenze legali…
Spesso la conclusione di tali discussioni è che in realtà quello del DPO è un ruolo che viene delegato ad un ufficio, nel quale sono presenti più figure che hanno le diverse competenze richieste e che quindi non ha molta importanza quali siano le reali competenze di un DPO …come dire che le evidenti carenze del singolo devono essere compensate da altri colleghi, trasformando il DPO in un team.
L’aspetto più interessante è che in tutto questo discutere, ed anche nell’agenda dei numerosi corsi[1] per DPO che hanno invaso la penisola, manchi del tutto o sia relegato ad un ruolo assolutamente marginale, uno dei compiti assegnati alla figura del DPO, quello della SORVEGLIANZA[2], come recita l’articolo 39 del GDPR:
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
…
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
Tale “dimenticanza” è comprensibile, se si considera la scarsa o inesistente dimestichezza nei confronti di un’attività di SORVEGLIANZA e quindi in ultima analisi di AUDIT, da parte della maggior parte degli aspiranti DPO…
Un’attività difficile, quella dell’AUDITOR, che ovviamente non si improvvisa e che richiede competenze specifiche e metodo.
Al riguardo basterebbe in realtà consultare i contenuti dell’unica certificazione per DPO attualmente rilasciata da un’AUTORITA’ GARANTE, quella spagnola, ed il relativo schema di esame:
http://www.agpd.es/portalwebAGPD/temas/certificacion/index-ides-idphp.php
Il DPO (e non un suo ufficio), secondo tale schema viene esaminato su tre fronti: le competenze legali (in merito alle conoscenze delle normative privacy), le competenze in ambito sicurezza ed analisi dei rischi ed infine le attività di AUDIT.
Lo schema rappresenta un ottimo esempio delle competenze richieste ad un DPO e dovrebbe essere utilizzato da quanti, Titolari e Responsabili, si apprestano a designare tale figura.
Troppo spesso ci si dimentica infatti che, una volta stabilito l’obbligo di un DPO, Titolare e Responsabile devono ricorrere a figure professionalmente preparate ed è loro obbligo dare evidenza dei criteri che hanno adottato nella scelta, criteri che come ovvio, possono essere contestati da un soggetto esterno preposto alla verifica.
Analogamente è responsabilità di tali soggetti stabilire un corretto compenso per il DPO.
Ben difficilmente figure interne ad un’organizzazione si vedranno compensare adeguatamente il proprio nuovo ruolo. Tale tema interessa soprattutto i soggetti che, esternamente all’azienda, saranno chiamati a svolgere tale incarico.
Quest’ultima soluzione viene da molti adottata per vari motivi. Al di là della mancanza di competenze interne vi è una errata, ma diffusa convinzione, che il DPO sia il parafulmine rispetto agli adempimenti normativi, cioè il soggetto su cui ricadranno le responsabilità in merito al rispetto o meno della normativa.
Niente di più errato ovviamente, visto che il DPO non è sanzionabile nemmeno per i trattamenti di dati personali che lui stesso svolge nella propria attività di DPO e che le responsabilità restano in capo al Titolare o Responsabile.
Recitano in proposito le Linee guida sui responsabili della protezione dei dati
Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, “mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (articolo 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del RPD.
Per determinare se un compenso è corretto o meno è necessario fissare almeno un parametro di riferimento.
Ad esempio se stabiliamo che un equo compenso per tale figura sia di 500 euro al giorno ne consegue che un compenso di 20 mila euro annui corrispondono a 40 giorni di attività lavorativa.
È ragionevole pensare che un DPO esterno dedichi tale tempo per svolgere il proprio ruolo in un’azienda (o in un’ associazione, o in un ente pubblico…)?
Dipende ovviamente dal tipo di organizzazione, dalle sue dimensioni, dai tipi di trattamenti effettuati, dal tempo che viene dedicato allo svolgimento dei trattamenti nell’organizzazione (8 ore per 5 giorni come di solito avviene in un’azienda, 24 ore per 7 giorni come avviene in un ospedale…).
È un tempo probabilmente ragionevole in una grande organizzazione che effettua incidentalmente trattamenti di dati particolari, ma che ha scelto comunque di avere un DPO; è ragionevole per un ente pubblico che non tratta dati particolari, ma che per obbligo di legge deve avere un DPO; è probabilmente ragionevole per una piccola organizzazione che tratta dati particolari.
Non è ovviamente ragionevole per una grossa organizzazione che tratta dati particolari presso la quale un DPO, seppur esterno, dovrebbe essere costantemente presente.
Ecco quindi che il compenso per il DPO non è più un elemento neutro, liberamente determinabile senza alcun criterio da parte di Titolare e Responsabile, ma come molti altri elementi di questa normativa (anche se questo è ancora poco compreso da Titolari e Responsabili che pensano ancora ad un legame diretto fra azione e sanzione), un elemento che contribuisce a valutare la reale conformità alla norma. Compensi troppo bassi presuppongono una scarsa professionalità del DPO e/o un tempo troppo limitato da dedicare al compito; di queste carenze il Titolare o il Responsabile risponderanno in sede di verifica ispettiva.
Al riguardo è opportuno considerare che le Linee guida sui responsabili della protezione dei dati così recitano:
E’ fondamentale disporre di tempo sufficiente da dedicare allo svolgimento dei compiti previsti per il RPD; una prassi da raccomandare consiste nel definire la percentuale del tempo lavorativo destinata alle attività di RPD quando quest’ultimo svolga anche altre funzioni. Un’altra buona prassi consiste nello stabilire il tempo necessario per adempiere alle relative incombenze, definire il livello di priorità spettante a tale incombenze, e prevedere che il RPD stesso (ovvero l’azienda/l’organismo titolare o responsabile) rediga un piano di lavoro;
e ancora
In linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.
In particolare la dove le informazioni sul compenso del DPO è pubblica (enti pubblici o manifestazione di interesse di aziende private) un valore non congruo con il ruolo, può costituire un elemento di allerta per quanti devono individuare le organizzazioni da controllare; chiunque infatti ha il compito di effettuare delle verifiche nel predisporre il proprio piano di azione seleziona le organizzazioni in funzione del maggior rischio di non conformità.
[1] Personalmente ho dovuto faticare non poco per inserire almeno un cenno alle attività di audit in un prestigioso master per DPO che ho contribuito a progettare.
[2] È interessante notare come la consulenza e la sorveglianza siano attività ex ante ed ex post tipiche ad esempio della Compliance, anche se personalmente ritengo che l’attività ex post di un DPO sia molto più simile a quella dell’audit