La maledizione del Dpo
Una maledizione aleggia sul DPO da sempre, o meglio, da quando gli articoli da 37 a 39, con l'intero Regolamento UE 2016/679 (GDPR), sono entrati in vigore (e, dopo due anni, divenuti applicabili). Discende immediatamente dal primo paragrafo dell'art. 37 che stabilisce, al ricorrere di una delle tre fattispecie individuate dalle lettere a), b) e c), l'obbligatorietà della designazione del Data Protection Officer.
Non da ora si coglie (perlomeno da parte di chi scrive) una certa qual dissonanza tra questa norma e il contenuto dell'art. 32, laddove è prescritto al titolare e al responsabile del trattamento che mettano in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”: è il principio di atipicità delle misure di sicurezza, uno dei fattori di maggiore sostanza e novità del nuovo regime, per il quale è il titolare (o il responsabile) a (dover) stabilire quali siano le misure idonee a ridurre i rischi derivanti/associati ai trattamenti di dati personali ad un livello di accettabilità, assumendone correlativamente la responsabilità.
Il legislatore evidentemente, dopo avere dettato il principio, non ha potuto fare a meno di derogarvi.
Eppure qui non è tanto la pretesa intangibilità del principio di atipicità che ci muove, bensì il merito stesso della misura imposta ovvero la sequela di questioni che essa si è portata e si sta portando dietro. Fondamentalmente il grosso dei problemi è nato/nasce (collateralmente all'obbligo) dal fatto che il DPO - che si vada a nominare ove sia strettamente necessario o anche in ipotesi ulteriori - non è mai una figura cui si possa chiedere di tutto, perché:
1) i compiti principali e indefettibili sono tipizzati dalla legge (art. 39.1);
2) altri eventuali compiti e funzioni possono essere oggetto di incarico (e quindi svolti) purché “non diano adito a un conflitto di interessi”.
Nondimeno, è capitato spesso che chi si è dovuto sobbarcare l'onere di designare un DPO (soprattutto se esterno) abbia richiesto, per ciò stesso, al designato anche tutto quello che non avrebbe potuto e/o dovuto chiedergli: ovvero (anzitutto o parallelamente) l'adeguamento dell'organizzazione alle disposizioni.
Non avvedendosi o non volendosi avvedere del fatto che, così facendo, aveva spinto/stava cacciando il DPO in un classico caso di conflitto di interessi (come potrebbe mai quegli serenamente soppesare la qualità e l'idoneità di un modello organizzativo che egli stesso abbia redatto o contribuito in prima persona a redigere? Come potrebbe mai sollecitare il titolare e committente sulla inadeguatezza, inizialmente non avvertita, di una determinata misura che egli stesso abbia progettato, predisposto?).
E' opportuno ribadire che il Data Protection Officer non può essere confuso con il tradizionale consulente 'privacy' e che l'incarico ad un DPO esige che l'organizzazione (pubblica o privata che sia, non importa) abbia già adottato (o quanto meno in fase di adozione) un modello organizzativo o comunque una serie di misure in adempimento delle disposizioni del Regolamento UE 2016/679. Perché nel caso in cui così non fosse, il primo atto del DPO dovrebbe essere la formale segnalazione di una carenza sistemica.
L'obbligatorietà della designazione è caduta, realisticamente, su un terreno ancora in parte desertico o stepposo, da vivificare: con la pretesa, per esempio, di innestare sulle organizzazioni grandi, medie e piccole di migliaia di enti ed organismi pubblici una funzione così sofisticata come quella disegnata dagli artt. 37 e ss., là dove per lo più non vi era mai stato altro che una leggera innaffiatura di qualche adempimento-base (per esempio, nomine di incaricati, informative).
Come affidare un compito di alta consulenza e puntuale sollecitazione in strutture che non avevano ancora affrontato, sul piano operativo, i problemi più elementari di una politica di adeguamento alle disposizioni cogenti?
(Nella foto: l'Avv. Paolo Marini)
Naturalmente non erano/sono in ballo soltanto enti e/o organismi, pubblici e anche privati, che desiderano a tutti i costi semplificare, per esigenze di economia e di bilancio; erano e sono in ballo, altresì, (alcuni) professionisti che si sono lasciati irretire da una logica deviante, diabolica, probabilmente senza neppure cogliere appieno la contraddizione, essendo ogni possibile scrupolo silenziato in partenza dall'esigenza di portare a casa fatturati anche insoddisfacenti ma sicuri.
Qualcuno leggendo queste righe potrebbe obiettare: dunque, che c'entra l'obbligatorietà?
A parte che facilmente l'obbligatorietà è/diventa un errore, un abbaglio drammatico dei legislatori, le cui preoccupazioni non partono mai, in qualsivoglia campo, dal riconoscimento della primazia della libertà e della responsabilità individuale. Che, all'opposto, restano insuperabili ed incomprimibili nell'ordinamento giuridico di una società aperta, evoluta.
Nell'argomento in esame, la preoccupazione fondamentale è pur sempre da ravvisare nel rispetto dei diritti individuali a fronte dei trattamenti di dati personali. È evidente come una (qualsiasi) organizzazione possa tranquillamente attivarsi in tal senso senza necessità alcuna di dotarsi di un Data Protection Officer: il come arrivarci dovrebbe, in ogni caso, rientrare nell'ambito della sua sovranità.
Domandiamoci pure se, dinanzi ad uno scenario peraltro così esteso e frastagliato (con imprese, enti, professionisti di 27 Stati operanti in contesti i più disparati), la figura e funzione del DPO non avrebbe trovato ben diversa promozione/valorizzazione se suggerita nell'ambito di best practices, di scelte appartenenti a fasi mature di processi di sensibilizzazione alla cultura della protezione delle informazioni personali. Scelte, appunto - e non imposizioni -, rigorosamente individuali, tarate o da tarare sulle singole organizzazioni. Al contrario, non di rado l'obbligo sembra aver avvicinato il povero DPO al vaso di coccio di manzoniana memoria, stretto tra/da vasi di ferro (il titolare, l'autorità di controllo, gli interessati), ma soprattutto stressato e/o emarginato/immiserito da un committente (il titolare stesso) che non sa o non vuole comprendere (e rispettare) il suo ruolo.
Se la promozione e la tutela dei diritti e delle libertà delle persone fisiche sotto il profilo dei trattamenti sono procurate non tanto da un insieme di misure che si incrociano in un modello organizzativo-quale-che-sia, bensì da una cultura che ispira una crescita graduale e coerente dell'organizzazione nel trasformare la protezione dei dati in un profilo connaturato a qualunque decisione o progetto, la disposizione che impone il DPO là dove non vi sia genuina intenzione di accoglierlo non riuscirà a trasformare quella organizzazione.
Le culture e le prassi organizzative che escludono dalle proprie attenzioni le questioni dei diritti e delle libertà delle persone fisiche in conseguenza dei trattamenti di dati sono/saranno sempre più grevi, più convincenti, più cogenti dell'obbligo di designazione in oggetto e soprattutto del suo corretto adempimento. E l'obbligo di legge, così, avrà (forse ha già) fallito.