Il DPO alle prese con lo stato dell’arte
Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori (ad es. ambiente e safety), che ricorre all’interno della normativa in materia di protezione dei dati personali come benchmark non soltanto in relazione alla gestione della sicurezza ma, più in generale, a tutte le misure tecniche e organizzative coinvolte nei processi di trattamento.
Infatti, gli articoli 32 e 35 GDPR, così come i considerando 78 e 83, vanno a precisare la portata dell’obbligo per le organizzazioni di considerare il parametro dello stato dell’arte, meglio declinato all’interno delle linee guida EDPB 4/2019 sull’art. 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita.
Nel contesto più generale dell’art. 25 GDPR è prescritto in capo all’organizzazione l’obbligo di tenere in considerazione il progresso tecnologico disponibile sul mercato in tutto il processo di analisi, selezione e valutazione delle misure tecniche e organizzative adottate e da adottare. E qui la disponibilità va contemperata facendo riferimento al livello di rischio nei confronti degli interessati la sostenibilità economica derivante dai costi di attuazione.
È importante chiarire che il progresso non si limita solo all’aspetto strettamente tecnologico ma comprende anche quello organizzativo, con l’avanzamento, la scoperta e la diffusione di standard, politiche, certificazioni, codici di condotta e modelli di gestione. Gli avanzamenti della tecnica, tanto in ambito compliance che security, comprendono infatti in modo inevitabile la gestione del fattore umano, a partire dalla governance fino al piano operativo. E qui gli interventi di formazione e addestramento possono giovare alla corretta comprensione e conseguente mitigazione dei nuovi rischi che emergono dall’impiego di tecnologie o processi innovativi.
In via generale, i titolari hanno la responsabilità di essere in grado innanzitutto di comprendere l’avanzamento tecnologico, così da poter efficacemente valutare opportunità e rischi delle misure già adottate o da adottare, al fine di implementarle ed aggiornarle sempre nell’ottica di garantire un’effettiva tutela ai diritti degli interessati. Coinvolgendo, se del caso, anche i responsabili coinvolti nella fornitura di servizi e tecnologie.
Tanto considerato è evidente il ruolo che assume il Data Protection Officer. Questi può (anzi: deve) intervenire fornendo consulenza e informazione a riguardo, anche mediante rilascio di pareri, nonché sorvegliare l’attuazione del processo di valutazione continua delle misure (anche da parte degli eventuali responsabili) e, se del caso, promuovere e controllare lo svolgimento delle valutazioni d’impatto.
Dal momento che lo stato dell’arte è un elemento dinamico, bisogna ricordare che anche il DPO deve a sua volta essere posto nelle condizioni di ricevere le risorse informative e formative necessarie per assolvere i propri compiti. E se così non è, dovrà essere proprio lo stesso DPO a sollecitare il rischio di violazione dell’art. 25 GDPR per effetto del venire meno del monitoraggio continuo di adeguatezza.
