Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Data Protection Officer: dentro, fuori, o da nessuna parte

Privacy e sicurezza - Paolo Ricchiuto* - 19 marzo 2018

Fare il DPO non è un lavoro semplice. Ma ancora più difficile è il compito del titolare e del responsabile che prima devono decidere se designarlo, e poi eventualmente scegliere all’interno o all'esterno della propria organizzazione.

Mentre passano le settimane, ed aumentano le fibrillazioni che fanno tremare un sistema del tutto impreparato alla applicazione del GDPR, molto ci si è concentrati sul Data Protection Officer - DPO in itaiano: Responsabile della protezione dei dati – RDP), e sulle caratteristiche di questa nuova figura professionale: l’ampiezza dei compiti che il Regolamento gli assegna, infatti, ha acceso un dibattito tra chi tira per una natura squisitamente legale, e chi invece valorizza di più le necessarie competenze tecniche ed informatiche che il DPO deve poter spendere (dibattito ben rappresentato dall’accidentato percorso che ha condotto, alfine, alla approvazione a dicembre scorso della norma UNI 11697:2017.

Ferma la criticità della situazione, ribadito come ad oggi non esista nessuna certificazione che abiliti formalmente allo svolgimento del ruolo (compresa la norma UNI sopra citata che, dunque, può esser utile, ma certo non è necessaria), lasciata da parte la battaglia tra avvocati ed ingegneri per accaparrarsi il mercato, proviamo però a girare per un attimo il punto di prospettiva: siamo così sicuri che, al di là delle grandi organizzazioni, nel pubblico e nel privato vi sia la possibilità pratica di dare seguito all’adempimento?

Ragionando in questa prospettiva, e recuperando ogni necessario punto di riferimento nel considerando 97, negli articoli 37 e seguenti del Regolamento, nelle Linee Guida del gruppo dei garanti europei e da ultimo nelle FAQ pubblicate dal Garante per l’ambito pubblico, la risposta non è affatto semplice.

Sappiamo che, a parte le pubbliche amministrazioni, non tutti sono obbligati a designare un DPO, ma soltanto quei titolari e responsabili che rientrano nelle definizioni dell’art. 37, delineate intorno ai concetti di "attività principale", trattamento "su larga scala", "monitoraggio regolare e sistematico e natura "particolare" dei dati (ex sensibili e giudiziari).

E sappiamo anche che, comunque, il Gruppo art. 29 "incoraggia" la designazione del DPO anche nei confronti di chi non è obbligato.

Attenzione, però: essere "incoraggiati" non significa certo, perdere le proprie prerogative decisionali, riconosciute dal sistema stesso di accountability intorno al quale ruota tutto il Regolamento. Se ho un’azienda che produce e commercializza scarpe, con qualche dipendente, ed uso ordinari canali di vendita e promozione, non sarà certo il fatto che tratto i dati anche "particolari" dei miei dipendenti ad imporre la designazione del DPO!

Esiste quindi un’area molto larga in cui, a dispetto della "campagna di Russia" nella quale siamo immersi, non esiste a monte il bisogno di cercare un DPO, dentro o fuori la propria struttura, essendo sufficiente avere l’accortezza (consigliata dal Gruppo art. 29) di documentare le ragioni che hanno indotto ad evitare la designazione.

Chi invece è o si sente obbligato alla designazione, prima ancora di andare a cercare sul mercato, sarà portato a capire se esiste il modo di gestire in casa l’adempimento, come peraltro espressamente previsto dall’art. 37, comma 6: a dispetto di petizioni di principio astratte secondo le quali "visto che il DPO deve avere delle eccezionali competenze, è impensabile pagarlo poco o nulla", i budget dei nostri Comuni (piccoli o grandi) e quelli delle nostre imprese, soprattutto quelle medie o piccole, strozzate dalla crisi e dalla impossibilità di accedere al credito, imporranno di provare a cercare dentro le proprie strutture la soluzione. Ma l’operazione è tutt’altro che semplice. Ed infatti:

a) il DPO deve essere indipendente, ed è espressamente inibita la possibilità che lo stesso riceva "istruzioni" dal suo datore di lavoro, oltre ad esser previsto che lo stesso risponda "direttamente al vertice gerarchico", operando comunque in una posizione che eviti "conflitti di interessi". Mica tanto facile! Lo dimostra lo stesso Gruppo art. 29, che individua nei "ruoli manageriali di vertice" un esempio classico di potenziale conflitto di interessi, escludendoli dalla possibilità di svolgere attività di DPO (nello specifico, amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT). Quello che va cercato al proprio interno, allora, esclusa la prima linea di riporto al Super Presidente, deve essere un dipendente capacissimo, al quale però non posso dare istruzioni, ed al quale devo peraltro anche pagare i corsi di aggiornamento (art. 38 comma 2). In ambito pubblico, chiarisce il Garante nelle FAQ, potrebbe trattarsi di un "dirigente ovvero un funzionario di alta professionalità";

b) ammesso e non concesso che si riesca ad individuare qualcuno che abbia quelle caratteristiche, come può mai un essere umano normale vedere atterrare sulle sue normali funzioni un compito così gravoso come quello del DPO senza lavorare 24 ore al giorno? Nessuno lo chiarisce, ed addirittura il Gruppo art. 29, con una indicazione quasi canzonatoria (e comunque poco in linea con la valorizzazione della figura cui tutto il resto delle Linee Guida è dedicato) si spinge a "raccomandare la prassi di definire la percentuale del tempo lavorativo destinata alle attività di RPD quando quest’ultimo svolga anche altre funzioni." Come tradurre in pratica questa piuttosto ipocrita indicazione?

c) nessuno ne parla, ma il vero tema che si aprirà, superati tutti gli ostacoli sopra indicati, sarà quello dei "superminimi". E' vero che il Gruppo art. 29 ci ha tenuto a chiarire che la responsabilità in caso di violazioni del Regolamento rimane in capo al titolare che ha designato il DPO, e non impatta direttamente su chi quel ruolo riveste. Ma, a meno di non voler fare finta di vivere sulla luna, possibile che non ci si renda conto che la attribuzione di un ruolo del genere ad una figura non manageriale, comporterà necessariamente una negoziazione selvaggia, con tutte le implicazioni di natura lavoristica (quel superminimo sarà assorbibile o sarà possibile con certezza escluderlo dalla base retributiva, una volta esaurito il compito di DPO? Inciderà su tutti gli altri istituti come tredicesima, quattordicesima, ferie eccetera?).

Tutte queste ragioni pratiche, potrebbero allora indurre a rivolgersi all’esterno.

Ma anche qui, oltre a tutti i problemi che conosciamo sulla attenzione che bisogna prestare ad attestati e certificatini presentati da aspiranti DPO, le Linee guida e le FAQ del Garante (che su questo punto specifico recepiscono acriticamente in una nota quanto affermato dal Gruppo art. 29) creano un ultimo, divertentissimo problema. Domanda: il DPO deve essere una persona fisica, o può essere anche una persona giuridica? Risponde il Gruppo dei Garanti: Se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e "responsabile" per il singolo cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti applicabili come fissati nel RGPD".

Sembra una barzelletta, ma… scritta così, anche la segretaria dell’outsourcer designato, dovrebbe saperne quanto un avvocato o un ingegnere o tutti e due messi insieme!

E’ evidente. La mia è una boutade, e la indicazione va certamente interpretata in modo intelligente, agganciandola non a "ciascun soggetto appartenente al fornitore", bensì solo a quei soggetti che fanno parte del team operativo sul singolo cliente.

Ma la astrattezza di questo "incoraggiamento", è perfettamente rappresentativa di quanto anche nei suoi gangli più importanti, più entriamo dentro al Regolamento, più ci rendiamo conto, tutti, della distanza siderale fra la pratica, e la affermazione di principi che con la pratica non hanno proprio nulla a che fare!

* Avvocato

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - Non è Casablanca, colonnello Rey
Libia 2015.
L'agente senza pistola
tra i tagliagole dell'ISIS.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Il colonnello Rey - Facebook
Manlio Cammarata - Un doppio enigma, colonnello Rey
Un omicidio in una stanza chiusa. Una storia di spie, traditori e codici segreti.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Manlio Cammarata - Il colonnello Rey, suppongo
Un giornalista che scompare.
Una "talpa" nel Palazzo. Un agente segreto senza pistola. 
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyright