La figura del DPO come è noto ha fra i suoi compiti (art. 39 1b) quello di
sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
ed inoltre, in base all’articolo 38 comma 3:
Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.
In tale contesto quindi, il DPO decide in autonomia in merito ai trattamenti che riguardano il suo specifico compito, analogamente a quanto fa un Titolare di trattamento, come meglio indicato nell’articolo 4 del GDPR:
«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
Tale caratteristica non è tipica solo del DPO, che essendo una ben definita figura prevista dal GDPR non si configura come Titolare, pur avendone in parte le caratteristiche, ma si ritrova analogamente in altri organismi di controllo presenti già oggi in numerose organizzazioni italiane in quanto previsti da altre normative.
Mi riferisco in particolare agli OdV istituiti in base alla legge 231/01 ed ai collegi sindacali. Il compito di tali organismi è, semplificando, quello di vigilare sull’operato di una specifica organizzazione e nello svolgere tale compito sono completamente autonomi, determinano cioè finalità e i mezzi del trattamento.
In altre parole tali organismi si configurano come Titolari distinti ed autonomi rispetto all’organizzazione sulla quale sono tenuti a vigliare.
Quello che è interessante osservare è che nella pratica la coscienza di svolgere tale ruolo da parte di questi organismi non è molto diffusa.
Un comportamento questo che può esporre al rischio di sanzioni con l’attuale normativa, ed è ancor più rischioso, visto i livelli delle sanzioni previste, con il GDPR.
Sul piano pratico la gestione degli adempimenti privacy da parte di tali organismi presenta non poche difficoltà; ad esempio la titolarità del trattamento è da intendersi riservata all’organismo nel suo complesso o deve essere considerata una contitolarità da parte di tutti i membri dell’organismo (un po’ come avviene per i condomini)?
Devono rilasciare autonome informative o è sufficiente adeguare le informative dell’organizzazione di cui si occupano nel loro mandato?
Come vanno regolati i rapporti fra questi organismi e le strutture, non sempre appartenenti all’organizzazione sottoposta alla loro vigilanza, che forniscono loro supporti operativo, informatico, logistico…
Si consideri ad esempio il caso in cui tutti o parte di tali servizi siano forniti da fornitori o outsourcer interni o esterni ad un gruppo, eventualmente designati responsabili dall’organizzazione titolare.
Come regolare dal punto di vista privacy i rapporti?
C’è molto da fare e da implementare da qui al maggio del 2018 e nessuno (salvo che sia espressamente fuori dall’ ambito di applicazione del GDPR), è esonerato dal rispetto di quanto richiesto dal GDPR per il solo ruolo che riveste, fosse anche quello di semplice vigilanza.