Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Mancano quattro giorni: è aperta la caccia al finto DPO

Privacy e sicurezza - Manlio Cammarata - 21 maggio 2018

Informative aggiornate e nomina del Responsabile della protezione dei dati sono in questi giorni un bel problema per molte aziende e pubbliche amministrazioni. Per il DPO qualcuno cerca scorciatoie che possono essere pericolose.

Queste sono giornate molto impegnative per i professionisti della protezione dei dati. Il telefono squilla in continuazione, l'email scarica a ripetizione messaggi che chiedono "consigli" (leggi: consulenze gratis...) in vista dell'applicazione del GDPR. Il tema che assilla molti titolari di trattamenti è la ricerca di un DPO, possibilmente a basso costo.
Ricerca destinata a restare senza esito, perché nessun professionista serio non butta via le proprie competenze per due soldi.

Ma per capire il problema è utile incominciare dagli aspetti più significativi contemplati dal Regolamento europeo, articoli 37, 38 e 39.

Il DPO deve avere due qualità imprescindibili: a) l'assenza di conflitto di interessi; b)  una competenza approfondita sulla normativa in materia di protezione dei dati personali, italiana ed europea.
Il conflitto di interessi esclude che possa essere nominato DPO un dirigente che abbia voce in capitolo, per qualsiasi funzione, in materia di trattamento di dati personali. Si escludono  dunque in partenza il Titolare e i Responsabili dei trattamenti, escono di scena anche tutti i responsabili e gli addetti dell'amministrazione e del personale, insieme agli amministratori di sistema e ai responsabili della sicurezza. Dell'ufficio legale interno, quando c'è, non è neanche il caso di parlare.

All'inizio in molte aziende si è pensato di affidare il compito di DPO all'avvocato esterno o allo studio legale che cura regolarmente o saltuariamente gli interessi della stessa azienda. Si è capito presto che la strada è impraticabile, proprio perché il DPO deve curare anche le ragioni degli Interessati e fungere da punto di contatto per il Garante. Il conflitto di interessi è evidente.
Dunque un avvocato esterno può rivestire la funzione di DPO, ma non deve avere  alcun altro incarico dall'azienda o dalla pubblica amministrazione titolare del trattamento.

Quando l'azienda è di grandi dimensioni, un dirigente può essere nominato DPO, ma non deve occuparsi in altro modo di trattamenti di dati. In molti casi, per esempio nei grandi operatori di telecomunicazioni, il DPO da solo può non bastare: va messo a capo di un "ufficio per la protezione dei dati" destinato solo a questo scopo.

In ogni caso il DPO deve possedere anche la seconda qualità citata all'inizio. Dice il GDPR: Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39, come stabillisce il comma 5 dell'art. 37 del GDPR.

Qui c'è un punto chiave. L'espressione "conoscenza specialistica della normativa" significa che il soggetto candidato al ruolo di DPO deve essere capace in primo luogo di leggere e interpretare un testo normativo. Quindi, se non necessariamente un avvocato, almeno un laureato in giurisprudenza. Ma non basta, perché l'aggettivo "specialistica" comporta una conoscenza della materia che non si può acquisire con un seminario di poche ore, anche per chi ha una preparazione giuridica di base.

Non parliamo poi di ingegneri o informatici, che nella maggior parte dei casi non hanno le basi "culturali" per trattare problemi normativi. E, salvo casi eccezionali, non possono assimilarle con un corso di qualche settimana.
Per quanto possa valere la mia esperienza personale, dopo quasi trent'anni che studio i problemi dei trattamenti di dati, conosco un solo ingegnere veramente capace di dominare la materia.

A questo punto dovrebbe essere chiaro a tutti (ma non lo è, dalle mie esperienze di questo periodo) che il Responsabile della protezione dei dati è una persona di alta preparazione. Un professionista esperto, o un alto dirigente, se interno a un'azienda o un ente.
Il che significa, fra l'altro, una retribuzione adeguata. E qui incominciano i problemi per le piccole imprese, per non parlare delle micro, in cui il ricorso a un professionista di livello adeguato può costituire un impegno economico difficile da sostenere, ma solo a prima vista.

In linea di massima la piccola impresa non ha bisogno di un DPO a tempo pieno, se non tratta grandi quantità di dati. Può ricorrere a un professionista o a una struttura esterna che svolga lo stesso ruolo per diverse imprese, con un costo proporzionato all'impegno effettivo richiesto (sul punto si veda l'articolo di Patrizio Galeotti Quanti incarichi per un Responsabile della protezione?).
Identificare e stipulare contratti di questo tipo dovrebbe essere compito delle associazioni di categoria, ma non risulta che molte lo abbiano fatto.

E qui salta fuori la soluzione che qualcuno definirebbe "all'italiana". Si nomina DPO un prestanome, una testa di legno, "tanto poi a tutto pensa il nostro avvocato".
Si dimentica però un dettaglio essenziale: il Responsabile della protezione dei dati ha tra i suoi compiti "cooperare con l'autorità di controllo e fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento" (art 39, paragrafo 1).

Ora immaginiamo il caso che il Garante per la protezione dei dati personali (la nostra "autorità di controllo") prenda contatto con uno di questi finti DPO e si trovi come interlocutore un simpatico ragioniere o un esperto informatico, non in grado di sostenere una discussione su problemi di diritto.
In linea di principio potrebbe rilevare che l'azienda non ha rispettato la prescrizione dell'art. 37, dove si dice che il DPO deve essere "designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati".

Sempre in linea di principio, questo "dettaglio" potrebbe essere considerato come una violazione dell'art. 37, passibile di una sanzione amministrativa fino a 10 milioni di euro (art. 83, paragrafo 4). Nessuna piccola impresa subirà una bastonata di questo ordine di grandezza, perché le sanzioni devono essere "in ogni singolo caso effettive, proporzionate e dissuasive" (sempre l'art. 83, paragrafo 1).

Ma, in ogni caso,"dissuasive".

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - Non è Casablanca, colonnello Rey
Libia 2015.
L'agente senza pistola
tra i tagliagole dell'ISIS.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Il colonnello Rey - Facebook
Manlio Cammarata - Un doppio enigma, colonnello Rey
Un omicidio in una stanza chiusa. Una storia di spie, traditori e codici segreti.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Manlio Cammarata - Il colonnello Rey, suppongo
Un giornalista che scompare.
Una "talpa" nel Palazzo. Un agente segreto senza pistola. 
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy