Il ruolo del DPO – Data Protection Officer è certamente di centrale importanza nell’organizzazione privacy di un’azienda o un ente pubblico. Sempre più spesso però, i titolari del trattamento sembrano aver inteso il ruolo del DPO come quella figura su cui gravano tutte le responsabilità, onerato nel prendere decisioni per conto della struttura, in sostituzione rispetto al titolare del trattamento. Ma è proprio questo che il GDPR si aspetta? Scopriamolo insieme.
Il DPO non salverà il mondo. Dall’entrata in vigore del GDPR 2016/679, la figura del DPO ha subito una metamorfosi, si è evoluta. Tale evoluzione però, in alcuni casi, non ha portato al consolidamento della figura del DPO secondo i compiti che il ruolo prevede (definiti e previsti, peraltro, dall’art. 39 del GDPR 2016/679), ma lo ha visto piuttosto assumere i connotati del supereroe, una sorta di cavaliere moderno, in grado di risolvere ogni problematica, in tempi rapidissimi e senza alcuna conseguenza. Se pensiamo al mondo delle favole e della fantasia, potremmo affiancare il DPO ad una serie di supereroi che, con cuore impavido, hanno combattuto battaglie straordinarie e in tanti casi, portato a compimento missioni impossibili. Questo, purtroppo, non è il ruolo del DPO, nemmeno dei più preparati e competenti.
Il responsabile della protezione dei dati (DPO) è una figura chiamata prima di tutto a collaborare con il titolare del trattamento, che è l’owner del modello organizzativo privacy di un’azienda e/o un ente pubblico. Il titolare del trattamento, deve mettere il DPO nelle condizioni di poter svolgere la propria attività con consapevolezza, coinvolgendolo tempestivamente nei processi della struttura, al fine di poter consentire al DPO di suggerire all’azienda o all’ente pubblico le migliori azioni per poter strutturare un trattamento secondo quanto atteso dalla normativa. L’art. 38 del GDPR 2016/679, ci dice anche che il DPO deve poter operare con autonomia e indipendenza, si cita testualmente il paragrafo 3 dell’art. 38 “il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”.
Cosa intende il GDPR con questa disposizione? Intende forse che il DPO si debba sostituire in tutto e per tutto al titolare del trattamento? Intende forse che il titolare del trattamento, una volta individuato e nominato il DPO, possa non occuparsi più del trattamento dei dati personali nella propria struttura? A parere di chi scrive, nulla di più distante da quanto era nelle intenzioni del legislatore.
Certamente, il DPO, deve poter operare in autonomia e indipendenza rispetto al titolare del trattamento, deve quindi poter segnalare con serenità e imparzialità eventuali aspetti riferiti al trattamento dei dati personali, che ha valutato come bisognosi di intervento, di natura migliorativa o correttiva. Questa attività però, non può prescindere dalla fondamentale collaborazione del titolare del trattamento, sui cui peraltro il GDPR 2016/679 individua la responsabilità per l’impostazione e il mantenimento di un idoneo modello organizzativo privacy (principio di accountability/responsabilizzazione, più volte richiamato nel testo del GDPR e nei suoi considerando).
Il titolare del trattamento è chiamato quindi a supportare e sostenere attivamente il proprio DPO, per consentire allo stesso di poter svolgere il proprio incarico al meglio. Si palesano, in alcuni casi, situazioni in cui il titolare del trattamento coinvolge tardivamente il proprio DPO (o addirittura lo coinvolge a cose fatte), chiedendo poi al DPO di poter garantire non solo la conformità del trattamento, ma anche il fatto che l’operatività della struttura non dovrà essere modificata o stravolta “per colpa della privacy”. Come detto in apertura, il DPO non è un supereroe e mai lo sarà. Il DPO potrà svolgere il proprio compito, aiutando l’azienda o l’ente pubblico in modo efficace e puntuale, solamente se il titolare mette nelle condizioni il proprio DPO di poter lavorare in collaborazione e consapevolmente.
Vanno anche segnalate, per completezza e chiarezza, situazioni in cui il titolare del trattamento coinvolge puntualmente il proprio DPO, lo informa e fornisce elementi fondamentali al DPO per poter valutare un trattamento. Un titolare del trattamento che, attraverso la collaborazione dei propri designati privacy, va a creare un modello di gestione privacy condiviso, che diventa un modus operandi dell’azienda o dell’ente pubblico.
In questo modo, il DPO, potrà svolgere il proprio compito in sinergia e armonia non solo con il titolare del trattamento, ma anche calando al meglio gli aspetti privacy nell’organizzazione aziendale, senza stravolgerla ma anzi cercando di creare valore aggiunto e magari ottimizzando un processo, non dimenticando mai che il vero obiettivo è la tutela dei dati personali degli interessati, cui i dati si riferiscono.
Il DPO non può essere un solista, un supereroe solitario, su cui ricadono decisioni che avranno un impatto sull’organizzazione del titolare del trattamento. Sarà compito del DPO suggerire e collaborare con il titolare del trattamento, che potrà poi valutare, nel rispetto del principio di accountability, le migliori azioni da intraprendere a tutela dei dati personali trattati nella propria organizzazione. La collaborazione, il dialogo, il confronto tra il titolare del trattamento e il DPO diventa la vera forza su cui contare, l’attività di squadra che tende a strutturare correttamente (nonché a vigilare nel tempo) i trattamenti di dati personali all’interno dell’organizzazione.
Lasciamo i supereroi al mondo della fantasia, auspicando che la collaborazione tra titolare e DPO sia il vero motore per strutturare e presidiare nel tempo il modello organizzativo privacy della struttura.
Link immagine: https://executive-education.dauphine.psl.eu/evenements-actualites/article/conference-devenir-data-protection-officer
Siamo qui per aiutarTi!
Contattaci