Il ruolo del Data Protection Officer nel contesto di un’attività ispettiva del Garante Privacy
Nell’ambito delle attività necessarie al fine di garantire la conformità con la normativa, è necessario che il Titolare predisponga anche una “procedura ispezioni” o “di collaborazione con l’autorità”, che definisca i soggetti da coinvolgere ed i comportamenti da tenere in caso di ispezioni dell’autorità di controllo.
(Nella foto: Selinza Zipponi, Global Data Protection Officer di Dedalus spa, sarà speaker al Privacy Day Forum 2023)
In primo luogo, è fondamentale che la procedura preveda, da parte degli addetti alla reception, o degli autorizzati presenti al momento dell’ispezione, l’immediato coinvolgimento del Data Protection Officer (DPO).
Ad avviso di chi scrive, infatti, il ruolo del DPO appare centrale in questa fase, in conformità a quanto prescritto dall’art. 39 del GDPR, per cui rientra tra i suoi compiti quello di “cooperare con l’autorità di controllo” e “fungere da punto di contatto con l’autorità di controllo” e dall’art. 38, per cui “il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Al DPO dovrà dunque essere attribuito il ruolo di coordinatore interno dell’ispezione e, in caso contrario (o ove addirittura non sia previsto il coinvolgimento dello stesso), vi sarà il rischio, a parere della scrivente, che sia contestata una violazione dei summenzionati articoli o che comunque ne sia desunta una scarsa capacità della società di adottare misure organizzative efficaci e di attuare un effettivo controllo sui trattamenti di dati posti in essere.
Il DPO dovrà avere un ruolo centrale anche laddove sia stato nominato un DPO di gruppo ai sensi dell’art. 37, par. 2 “a condizione che sia facilmente raggiungibile da ciascuno stabilimento”. Invero, nelle linee guida del Working Party articolo 29 sui responsabili della protezione dei dati (wp243-2016) è stato chiarito che il concetto di raggiungibilità non implica necessariamente una presenza fisica, ma si riferisce ai compiti del DPO in quanto punto di contatto per gli interessati, i soggetti interni all’organismo o all’ente, e, appunto, l’autorità di controllo. Invero il DPO “se necessario con il supporto di un team di collaboratori”, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate.
Le comunicazioni devono avvenire nella lingua utilizzata dalle autorità di controllo volta per volta in causa. Ci si potrebbe chiedere, quindi, se il DPO debba essere fisicamente presente e raggiungibile anche in caso di ispezioni presso sedi in paesi diversi da quello in cui lo stesso risieda e come garantire questo requisito. A tal fine, è importante considerare che le suddette linee guida prevedono espressamente che il requisito della raggiungibilità possa essere inteso “vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri d comunicazione” (concetto che viene ribadito anche allorché viene indicato che “allo scopo di assicurare la raggiungibilità del DPO, interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal GDPR”).
Nel caso in cui, pertanto, il DPO non possa raggiungere la sede di ispezione in tempi brevi, e partecipare fisicamente alla stessa, è importante che si sia organizzato per potere essere presente “con un team di collaboratori”. A tal fine, a parere della scrivente, appare lodevole la prassi di alcune società multinazionali di nominare un “privacy liaison” o “privacy champion” in ciascun paese estero ove la società operi. Tale soggetto non dovrà necessariamente essere un esperto di data protection, ma dovrà avere ricevuto una formazione specifica sul tema ed essere consapevole dei trattamenti di dati personali effettuati dalla società e dei presidi posti in essere, compresi i documenti adottati dalla società nell’ambito del Modello privacy e, ovviamente, la procedura ispezioni. Inoltre, dovrà essere in contatto costante con il DPO di gruppo.
In tal modo, a parere della scrivente, la società potrebbe garantire la raggiungibilità del DPO anche in paesi diversi, affidando al Privacy Liaison il compito di facilitare e coadiuvare Il DPO nei suoi rapporti con l’Autorità, incluso il superamento di eventuali ostacoli linguistici, anche in caso di ispezione.
Ovviamente, tanto che sia il DPO quanto il privacy Liaison a coordinare l’ispezione, si dovranno coinvolgere gli altri soggetti indicati nella procedura ispezioni e seguire le regole di comportamento ivi stabilite.