|
Fare il DPO non è un lavoro semplice. Ma ancora più difficile è il compito del titolare e del responsabile che
prima devono decidere se designarlo, e poi eventualmente scegliere all’interno
o all'esterno della propria organizzazione.
Mentre passano le settimane, ed aumentano le fibrillazioni che fanno tremare
un sistema del tutto impreparato alla applicazione del GDPR, molto ci si è
concentrati sul Data Protection Officer - DPO in itaiano: Responsabile della
protezione dei dati – RDP), e sulle caratteristiche di questa nuova figura
professionale: l’ampiezza dei compiti che il Regolamento gli assegna, infatti,
ha acceso un dibattito tra chi tira per una natura squisitamente legale, e chi
invece valorizza di più le necessarie competenze tecniche ed informatiche che
il DPO deve poter spendere (dibattito ben rappresentato dall’accidentato
percorso che ha condotto, alfine, alla approvazione a dicembre scorso della
norma UNI 11697:2017.
Ferma la criticità della situazione, ribadito come ad oggi non esista
nessuna certificazione che abiliti formalmente allo svolgimento del ruolo
(compresa la norma UNI sopra citata che, dunque, può esser utile, ma certo non
è necessaria), lasciata da parte la battaglia tra avvocati ed ingegneri per
accaparrarsi il mercato, proviamo però a girare per un attimo il punto di
prospettiva: siamo così sicuri che, al di là delle grandi organizzazioni, nel
pubblico e nel privato vi sia la possibilità pratica di dare seguito all’adempimento?
Ragionando in questa prospettiva, e recuperando ogni necessario punto di
riferimento nel considerando 97,
negli articoli 37 e seguenti del
Regolamento, nelle
Linee Guida del gruppo dei garanti europei e da ultimo nelle FAQ pubblicate dal Garante per l’ambito pubblico, la
risposta non è affatto semplice.
Sappiamo che, a parte le pubbliche amministrazioni, non tutti sono obbligati
a designare un DPO, ma soltanto quei titolari e responsabili che rientrano nelle
definizioni dell’art. 37, delineate intorno ai concetti di "attività
principale", trattamento "su larga scala", "monitoraggio
regolare e sistematico e natura "particolare" dei dati (ex sensibili e
giudiziari).
E sappiamo anche che, comunque, il Gruppo art. 29 "incoraggia" la
designazione del DPO anche nei confronti di chi non è obbligato.
Attenzione, però: essere "incoraggiati" non significa certo,
perdere le proprie prerogative decisionali, riconosciute dal sistema stesso di accountability
intorno al quale ruota tutto il Regolamento. Se ho un’azienda che produce e
commercializza scarpe, con qualche dipendente, ed uso ordinari canali di vendita
e promozione, non sarà certo il fatto che tratto i dati anche
"particolari" dei miei dipendenti ad imporre la designazione del DPO!
Esiste quindi un’area molto larga in cui, a dispetto della "campagna
di Russia" nella quale siamo immersi, non esiste a monte il bisogno di
cercare un DPO, dentro o fuori la propria struttura, essendo sufficiente avere l’accortezza
(consigliata dal Gruppo art. 29) di documentare le ragioni che hanno indotto ad
evitare la designazione.
Chi invece è o si sente obbligato alla designazione, prima ancora di andare
a cercare sul mercato, sarà portato a capire se esiste il modo di gestire in
casa l’adempimento, come peraltro espressamente previsto dall’art. 37, comma
6: a dispetto di petizioni di principio astratte secondo le quali "visto
che il DPO deve avere delle eccezionali competenze, è impensabile pagarlo poco
o nulla", i budget dei nostri Comuni (piccoli o grandi) e quelli delle
nostre imprese, soprattutto quelle medie o piccole, strozzate dalla crisi e
dalla impossibilità di accedere al credito, imporranno di provare a cercare
dentro le proprie strutture la soluzione. Ma l’operazione è tutt’altro che
semplice. Ed infatti:
a) il DPO deve essere indipendente, ed è espressamente inibita la possibilità
che lo stesso riceva "istruzioni" dal suo datore di lavoro, oltre ad
esser previsto che lo stesso risponda "direttamente al vertice
gerarchico", operando comunque in una posizione che eviti "conflitti
di interessi". Mica tanto facile! Lo dimostra lo stesso Gruppo art. 29, che
individua nei "ruoli manageriali di vertice" un esempio classico di
potenziale conflitto di interessi, escludendoli dalla possibilità di svolgere
attività di DPO (nello specifico, amministratore delegato, responsabile
operativo, responsabile finanziario, responsabile sanitario, direzione
marketing, direzione risorse umane, responsabile IT). Quello che va cercato
al proprio interno, allora, esclusa la prima linea di riporto al Super
Presidente, deve essere un dipendente capacissimo, al quale però non posso dare
istruzioni, ed al quale devo peraltro anche pagare i corsi di aggiornamento (art. 38 comma 2). In ambito pubblico,
chiarisce il Garante nelle FAQ, potrebbe trattarsi di un "dirigente ovvero
un funzionario di alta professionalità";
b) ammesso e non concesso che si riesca ad individuare qualcuno che abbia
quelle caratteristiche, come può mai un essere umano normale vedere atterrare
sulle sue normali funzioni un compito così gravoso come quello del DPO senza
lavorare 24 ore al giorno? Nessuno lo chiarisce, ed addirittura il Gruppo art.
29, con una indicazione quasi canzonatoria (e comunque poco in linea con la
valorizzazione della figura cui tutto il resto delle Linee Guida è dedicato) si
spinge a "raccomandare la prassi di definire la percentuale del tempo
lavorativo destinata alle attività di RPD quando quest’ultimo svolga anche
altre funzioni." Come tradurre in pratica questa piuttosto ipocrita
indicazione?
c) nessuno ne parla, ma il vero tema che si aprirà, superati tutti gli
ostacoli sopra indicati, sarà quello dei "superminimi". E' vero che
il Gruppo art. 29 ci ha tenuto a chiarire che la responsabilità in caso di
violazioni del Regolamento rimane in capo al titolare che ha designato il DPO, e
non impatta direttamente su chi quel ruolo riveste. Ma, a meno di non voler fare
finta di vivere sulla luna, possibile che non ci si renda conto che la
attribuzione di un ruolo del genere ad una figura non manageriale, comporterà
necessariamente una negoziazione selvaggia, con tutte le implicazioni di natura
lavoristica (quel superminimo sarà assorbibile o sarà possibile con certezza
escluderlo dalla base retributiva, una volta esaurito il compito di DPO?
Inciderà su tutti gli altri istituti come tredicesima, quattordicesima, ferie
eccetera?).
Tutte queste ragioni pratiche, potrebbero allora indurre a rivolgersi all’esterno.
Ma anche qui, oltre a tutti i problemi che conosciamo sulla attenzione che
bisogna prestare ad attestati e certificatini presentati da aspiranti DPO, le
Linee guida e le FAQ del Garante (che su questo punto specifico recepiscono
acriticamente in una nota quanto affermato dal Gruppo art. 29) creano un ultimo,
divertentissimo problema. Domanda: il DPO deve essere una persona fisica, o può
essere anche una persona giuridica? Risponde il Gruppo dei Garanti: Se la
funzione di RPD è svolta da un fornitore esterno di servizi, i compiti
stabiliti per il RPD potranno essere assolti efficacemente da un team operante
sotto l’autorità di un contatto principale designato e
"responsabile" per il singolo cliente. In tal caso, è indispensabile
che ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti applicabili
come fissati nel RGPD".
Sembra una barzelletta, ma… scritta così, anche la segretaria dell’outsourcer
designato, dovrebbe saperne quanto un avvocato o un ingegnere o tutti e due
messi insieme!
E’ evidente. La mia è una boutade, e la indicazione va certamente
interpretata in modo intelligente, agganciandola non a "ciascun soggetto
appartenente al fornitore", bensì solo a quei soggetti che fanno parte del
team operativo sul singolo cliente.
Ma la astrattezza di questo "incoraggiamento", è perfettamente
rappresentativa di quanto anche nei suoi gangli più importanti, più entriamo
dentro al Regolamento, più ci rendiamo conto, tutti, della distanza siderale
fra la pratica, e la affermazione di principi che con la pratica non hanno
proprio nulla a che fare!
* Avvocato
|
Home
sulle novità di
InterLex
Informazioni sul copyright