Cookie free: nessun "biscotto" per spiare i lettori

Quanti incarichi per un Responsabile della protezione?

Privacy e sicurezza - Patrizio Galeotti* - 21 maggio 2018

Per un libero professionista non c'è limite al numero di clienti. Ma il Garante potrebbe adocchiare qualche DPO, magari non troppo preparato, che assuma troppi incarichi a basso costo, svalutando il ruolo introdotto dal GDPR.

Ci sono opinioni diverse, anche illustri, riguardo al numero di incarichi che può assumere un DPO, volte ad evidenziarne il necessario coinvolgimento personale e quindi l'inevitabile limitazione nel numero di clienti a quelli che, oggettivamente, una sola persona può espletare, essendo la funzione, il servizio, legato alle capacità e conoscenze, e presenza personale, del DPO. Per capire come e quanti incarichi un DPO può assumere però occorre analizzare anche altri parametri.

Tra questi, ci sono le dimensioni delle aziende o PA che il DPO "serve" o, meglio, che si servono di lui, e la facilità con cui queste lo possono raggiungere.
E vi è ancora un ulteriore aspetto dimensionale, attinente la quantità e qualità della prestazione che può fornire un DPO; riguarda la sua natura, ovvero se è persona fisica, professionista, ditta individuale, oppure persona giuridica, ovvero azienda strutturata, con un'adeguata organizzazione (comprese le dimensioni), poiché può essere nominato DPO una persona giuridica, la quale fornisce poi al Garante e al Titolare o Responsabile che l'ha designata, il nominativo di un referente ai fini della sua facile raggiungibilità, e all'interno della struttura può avere anche più di un referente.

Detto questo, da non trascurare è anche la distinzione tra DPO obbligatorio e facoltativo; nel secondo caso il controllo pubblico (del Garante) sull'effettività del ruolo svolto (che poi sul piano giuridico sarebbe tutto da valutare nella sua portata e legittimità, e sempre che il Garante abbia tempo e risorse da spendere in questa attività), e quindi sul numero di incarichi assunti, non dovrebbe rilevare allo stesso modo che nel primo; poiché come figura non obbligatoria la cui nomina non limita i doveri e le responsabilità del Titolare, questa dovrebbe rimanere relegata ai rapporti privati tra DPO e Titolare, e alle conseguenti responsabilità contrattuali che ne derivano. Ovviamente anche un DPO non obbligatorio, una volta nominato, dovrà garantire il rispetto dei propri obblighi di riservatezza ed osservanza della disciplina nazionale ed europea sui dati personali, quindi essere anche efficiente.

Ne dovrebbe conseguire che se un Titolare che non è obbligato alla nomina di un DPO, lo vuole comunque nominare per sua tranquillità, questa tipologia di DPO può assumere il numero di incarichi che vuole, dovendone rispondere soltanto al Titolare, in caso di cattiva prestazione del suo ufficio.

Nell'ipotesi di Titolare-pubblica amministrazione, la nomina di un DPO non adeguato per gli eccessivi incarichi, potrebbe rilevare anche dal punto di vista del possibile danno erariale connesso ai costi dell'incarico conferito oltre che delle possibili conseguenze sanzionatorie e risarcitorie. E il rischio dell'inadeguatezza sarà direttamente proporzionale al numero di incarichi assunti dal DPO, con la conseguenza che meno saranno gli incarichi "accaparrati", minore sarà il rischio.

Un altro parametro che la realtà impone, a dispetto della norma che sembra sempre meno tenerne conto, è la struttura aziendale; ovvero la possibilità che un DPO sia obbligatorio per aziende con uno, due o tre dipendenti, di dimensioni e sedi piccole, ma che effettuano un trattamento particolare di dati personali molto automatizzato e su larga scala.

In questo caso i controlli sulla effettiva capacità del DPO che assuma diversi incarichi da questa tipologia di aziende, con piccole dimensioni reali, ma con grande potenza telematica e grandi capacità di trattamento dei dati personali, saranno direttamente collegati anche alla struttura del DPO, se persona fisica o azienda, e alla sua struttura informatica e logistica interna, per cui questi ben potrà servire molte più realtà, rispetto all'ipotesi in cui i suoi clienti siano logisticamente molto estesi e frammentati sul territorio, poco o male informatizzati, e con necessità di quasi continua presenza di un "controllore" quale può e deve essere il Responsabile della protezione dei dati.

A mio parere, si può quindi sostenere che la raggiungibilità e la capacità, da parte del DPO di poter servire un numero più o meno elevato di clienti, non vada misurata con un parametro meramente numerico e nella distanza fisica di questo dalla sua assistita, bensì dalla velocità e facilità di assistenza anche da remoto o con altri strumenti informatici che il DPO può fornire, ovvero nella sua raggiungibilità effettiva senza problemi, quindi dalla sua struttura interna più o meno articolata sul territorio, e dalla struttura dei suoi clienti. Ne deriva che quanto più adeguato investimento in nuove tecnologie, e in misure di sicurezza tecnologiche adeguate, sia presente sia nei clienti che nei DPO stessi, tanto più può estendersi il numero di incarichi che questo può utilmente assumere nel rispetto dei parametri richiesti dalla legge.

(Vedi anche: Mancano quattro giorni: è aperta la caccia al finto DPO)

* Avvocato