Regolamento UE Privacy: parte 3 – Data Protection Officer, possibile farne a meno?

Il GDPR prevede alcuni e limitati casi di obbligatorietà per il DPO o Responsabile della Protezione dei Dati: la Pubblica Amministrazione dovrà necessariamente avvalersi di tale figura professionale che si renderà indispensabile anche per trattamenti su larga scala di soggetti interessati e di dati particolari.

Al momento il GDPR non prevede ulteriori casi di obbligatorietà, e proprio in tale ambito si potranno pronunciare i singoli stati membri UE che potranno prevedere nuove ed eventuali casistiche sulla base delle quali tale soggetto dovrà essere necessariamente individuato, valutato e nominato.

Nel frattempo cosa fare?

L’orientamento della nostra Autorità di controllo è ben chiaro da diverso tempo ed è decisamente a favore dell’introduzione del Data Protection Officer anche ove non previsto attualmente dal GDPR.

Ma la valutazione da farsi dovrebbe essere a prescindere dalla sua obbligatorietà o meno, attuale e futura, e gli elementi da considerare sono diversi. Vediamone alcuni.

Nel precedente articolo è stato introdotto il Data Protection Officer trattando i relativi casi di obbligatorietà, i suoi compiti e le caratteristiche di tale soggetto. Si è accennato anche alla c.d. valutazione di impatto, quale una delle azioni che potrebbe coinvolgere indirettamente, ma anche direttamente, tale soggetto quando necessario e in conclusione si è anche valutata la c.d. armonizzazione normativa, quale uno dei principali obiettivi della prima proposta di Regolamento. Obiettivo che nel corso di questo lungo cammino del GDPR si è un po’ perso durante il tragitto.

Ad ulteriore riprova, sempre per restare in tema di armonizzazione normativa, anche la possibilità di singola nomina del DPO per i gruppi di imprese, ad esempio con stabilimenti ubicati in più paesi UE, potrebbe non essere di così semplice applicazione.

Il nuovo Regolamento si presenta dunque come una “legge per un continente”, o quanto meno questo era uno tra i vari buoni propositi, ma la Data Protection è un campo interdisciplinare influenzato da molte altre discipline di settore e più in generale da altri settori del diritto stesso, come quelli delle telecomunicazioni e delle norme giuslavoristiche, solo per citarne alcune. Pertanto, le disposizioni nazionali in materia di Data Protection che comunque “sopravviveranno” all’entrata in vigore del nuovo GDPR, perché alcune di queste di fatto rimarranno in essere, e le diverse norme nazionali che direttamente o indirettamente impattano sulla protezione dei dati non potranno essere ignorate. Senza poi considerare le probabili difficoltà anche da un punto di vista linguistico. Il DPO sarà anche il “volto” delle DPA nazionali e degli stessi cittadini, e soprattutto con quest’ultima categoria, ma non escluderei a priori neanche la prima, quanto saranno probabili tali difficoltà linguistiche?

Desumibile, quindi, che la strada da intraprendere sia ben lontana da tale semplificazione o presunta tale che sia. Probabile, se non quasi necessaria, la nomina di un DPO per nazione, o per gruppi di nazioni riconducibili quanto meno allo stesso idioma, e la presenza di un DPO regionale con funzioni di coordinamento, supervisione e, perché no, anche di controllo.

Il principio ispiratorio di tale possibilità è sicuramente anche riconducibile alla volontà di intraprendere un percorso di semplificazione, nonostante l’introduzione anche di nuovi e più stringenti obblighi, e di riduzione degli oneri amministrativi e burocratici a carico soprattutto delle PMI. Ma anche in questo caso tale obbiettivo sarà di fatto perseguibile?

Quali competenze per il DPO?

E’ evidente agli occhi di tutti che ormai il trattamento dei dati personali è prevalentemente, se non quasi solo ed esclusivamente di tipo digitale, anche e soprattutto tramite il web. Pertanto nella valutazione delle caratteristiche del DPO è impensabile potersi fermare alle sole indicazioni fornite dal GDPR, ma sarà doveroso andare ben oltre. Come potrebbe un soggetto ricoprire il ruolo del DPO senza avere competenze adeguate e specifiche in ambito ICT e di Cyber Security? Come potrebbe individuare prima le misure di sicurezza e valutarne poi anche la loro adeguatezza? Come potrebbe intraprendere adeguate pratiche in ambito di crittografia, pseudonimizzazione dei dati, strategie di data loss prevention, sicurezza delle informazioni, vulnerabilità, gestione di flussi di dati personali, trattamenti anche per il tramite di soluzioni particolari e trasferimenti delicati di dati personali? Solo per citarne alcune.

Ma pensiamo anche a processi aziendali semplici o più complessi di marketing “tradizionale” e/o di Social Digital Media Marketing. Se il DPO non conoscerà nel dettaglio anche tali meccanismi, come potrà rendere e mantenere conformi tali processi?

Doverose saranno, quindi, competenze trasversali e multidisciplinari, e non solo da un punto di vista normativo. Dovrà anche essere una figura professionale con spiccate capacità relazionali, visto il numero dei soggetti e di parti interessate con le quali dovrà rapportarsi e per non “minare” la propria indipendenza soprattutto all’interno della propria organizzazione. Il DPO dovrà anche essere un soggetto particolarmente pratico e che dovrà conoscere approfonditamente il proprio modello di business al fine di cercare, anche attraverso azioni di semplificazione, di ottimizzare e rendere più efficaci i propri processi, generando valore per la propria organizzazione che potrà avere anche un certo ritorno di investimento: la privacy da costo a valore! Anche questo obiettivo è sicuramente lodevole, ma altrettanto ambizioso.

DPO in Italia

Proviamo a contestualizzare il DPO nel nostro bel Paese e soprattutto nel suo tessuto impreditoriale. Fino ad ora la Privacy e la Data Protection hanno avuto non molta fortuna; tuttora e di frequente è considerata un mero e fastidioso adempimento burocratico, e la stessa cultura della sicurezza informatica è ad oggi ancora poco radicata. Ancora poco diffusa è anche la consapevolezza che l’asset più importante di ogni attività di impresa è riconducile ai propri dati, e se il nostro legislatore nazionale non renderà più chiari eventuali e ulteriori casi di obbligatorietà sarà più dura del previsto la vita del DPO, che da subito è stata definita la nuova professione per l’Europa, ma sarà altrettanto così anche per l’Italia?

In Austria e in Germania la figura del DPO è stata introdotta nei rispettivi quadri giuridici già da tempo. In Germania è fissato un preciso vincolo di obbligatorietà: almeno 9 incaricati al trattamento digitale dei dati personali e almeno 20 in caso di trattamento non automatizzato. Forse saranno paletti anche poco condivisibili, ma almeno due certezze sono garantite: elevata diffusione di standard certamente adeguati di conformità e, almeno per una volta, anche se non l’unica, a differenza del pensiero comune, un Paese diverso dall’Italia si è dotato di una norma più stringente della nostra!

L’orientamento del nostro Garante Privacy è ben chiaro da diverso tempo, diversi sono i suoi interventi in tal senso, e nello stesso ultimo Provvedimento in materia di Fascicolo e Dossier Sanitario Elettronico auspica e raccomanda alle organizzazioni esercenti le professioni medico-sanitarie, destinatarie di tale provvedimento, di dotarsi sin da subito di tale figura professionale. Non ci resta che augurarsi che anche i nostri legislatori siano così ben propensi e al tempo stesso così lungimiranti.

Certamente l’impianto sanzionatorio è stato fortemente inasprito, ma dovrebbe essere questo l’unico colpo che rimane in canna e puntare la pistola contro le nostre imprese per obbligarle a recepire adeguatamente il nuovo GDPR? Di fatto, potrebbe essere l’unica possibilità perseguibile, ma si tratterebbe sempre di un obbligo, e non di consapevolezza che trattare i propri dati in maniera corretta e conforme possa anche significare ottimizzazione e maggiore efficacia per i propri modelli organizzativi e di business.

L’eventuale nomina di un Data Controller “Delegato”, così come la nomina del DPO, consentono attraverso un meccanismo di deleghe il trasferimento di ruoli, attività e soprattutto relative responsabilità dai vertici apicali verso soggetti che dovrebbero, attraverso un’azione soprattutto collaborativa, adottare e mantenere nel tempo un adeguato modello organizzativo in materia di data protection.
L’alternativa per le imprese, che “non vorranno” dotarsi della figura del DPO, sarà la possibilità di attivare un rapporto consulenziale con un valido professionista, che pur avendo le stesse competenze sopra descritte, ma in assenza di autonomia e indipendenza, difficilmente potrà fornire lo stesso tipo di supporto rispetto a quello che garantirebbe il DPO. Inoltre, in assenza di un DPO, che possa anche perimetrare le responsabilità del Data Controller “Delegato”, quale soggetto interno potrà mai accettare tale ruolo? In questo caso, le relative responsabilità rimarranno totalmente in capo al board e al management della stessa impresa. Sottointeso che, anche la nomina di un soggetto non idoneo, il primo “malcapitato” all’interno della propria organizzazione, non sarà assolutamente una valida soluzione. Tale designazione sarà considerata come non adeguata, incorrendo nel c.d. rischio di culpa in eligendo, e nel caso di specie, tali responsabilità torneranno indietro come un boomerang sugli stessi vertici apicali.

In assenza di un DPO, quindi, le imprese sarebbero in grado di adempiere a tutti i compiti previsti per questa figura professionale? La sanzione quale unica leva per un’adeguata data protection?

Data Protection Officer: pensate ancora di poterne fare a meno?

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here