L’organizzazione deve garantire la continuità d’azione del Data Protection Officer
All’interno del provvedimento n. 581 del 26 settembre 2024 in cui l’Autorità Garante per la protezione dei dati personali ha sanzionato una AST, da cui si possono apprendere spunti per garantire la corretta gestione dei certificati medici, è presente anche un obiter dictum dedicato all’importanza di garantire la continuità d’azione alla funzione del Data Protection Officer (DPO).
Questa tematica ha un ruolo tutt’altro che secondario, dal momento che è stata oggetto dell’azione coordinata svolta dall’European Data Protection Board (EDPB) ed è condizione necessaria affinché il DPO possa costituire un efficace presidio di accountability.
Il fatto emerso nel corso dell’istruttoria e oggetto di specifica contestazione ha riguardato il mancato riscontro alla richiesta di informazioni formulata da parte del Garante con violazione dell’art. 157 Cod. Privacy:
«Nell’ambito dei poteri di cui all'articolo 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati».
I profili di violazione non sono stati superati dalle difese dell’organizzazione, secondo le quali “il complesso processo di riorganizzazione non ha consentito un propedeutico passaggio di consegne tra i tre DPO che si sono avvicendati nell’ultimo periodo” dal momento che è stata valutata come inescusabile la mancata gestione – attraverso la predisposizione di misure tecniche e organizzative adeguate – della continuità d’azione della funzione.
La censura mossa da parte del Garante Privacy all’interno del citato provvedimento, pur non rilevando profili specifici di violazione né computando tale evenienza come circostanza ai sensi dell’art. 83 par. 3 GDPR, è stata comunque espressa in modo netto:
«la prassi di instaurare contatti, solo saltuari, tra il soggetto pubblico e il proprio RPD (sia interno che esterno) vanifica il senso della presenza del RPD e, con esso, l’approccio di privacy by design e by default promosso dal Regolamento, con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari».
Il requisito della continuità d’azione, già noto per altre funzioni di sorveglianza come l’Organismo di Vigilanza dei MOGC ex d.lgs. 231/01 per cui presenza e coinvolgimento devono essere tali da consentire un’efficace e regolare attività di monitoraggio. Mutatis mutandis, l’art. 38 GDPR prevede che l’organizzazione designante debba essere in grado di predisporre e comprovare misure adeguate a garantire la posizione del DPO almeno per quanto riguarda gli aspetti di coinvolgimento, autonomia, indipendenza, adeguatezza delle risorse fornite e capacità di reportistica nei confronti della direzione.
Altrimenti, il rischio è quello di incorrere in un’inerzia tanto dell’organizzazione designante quanto dello stesso DPO che manca di un approccio proattivo al ruolo. La funzione, ridotta così ad un mero adempimento formale, è svuotata di ogni valore sostanziale con tutte le più prevedibili conseguenze del caso, soprattutto in termini di liceità e sicurezza.
