Tutto a posto con il DPO? ecco come controllare
La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.
Eppure, dal momento che l’organizzazione che ha designato il DPO è responsabile per l’adempimento degli artt. da 37 a 39 GDPR, deve essere in grado di garantire e dimostrare la conformità alla norma del processo di selezione, dell’inquadramento e dei compiti assegnati e svolti.
Il limite più evidente di cui tenere conto durante le verifiche dell’attività del DPO è fornito dall’art. 38.3 GDPR, che richiama un duplice divieto. Il primo, di fornire istruzioni – anche indirette quali sono talune modalità di svolgimento dei controlli di performance della funzione, ad esempio – nell’esecuzione dei compiti assegnati ivi inclusa l’interpretazione da dare alla normativa in materia di protezione dei dati. Come ricorda l’EDPB con le Linee guida WP243 sui Responsabili della Protezione dei Dati, però, garantire indipendenza e autonomia al DPO “non significa che quest’ultimo disponga di un margine decisionale superiore al perimetro dei compiti fissati nell’articolo 39.”
Il secondo divieto riguarda la rimozione o penalizzazione, diretta o indiretta, del DPO per l’adempimento dei propri compiti. Il che però non preclude alcuna iniziativa di rimozione o penalizzazione nel caso in cui sia inadempiente rispetto agli obblighi contrattualmente definiti.
Tanto premesso sui limiti di cui dover sempre tenere conto, è di chiara evidenza che il controllo di conformità agli artt. da 37 a 39 GDPR possa essere efficacemente svolto con un audit di prima parte. E che l’auditor non possa ovviamente essere parte dell’ufficio del DPO, in quanto soggetto in parte destinatario del controllo per tutto ciò che riguarda il rapporto fra DPO e organizzazione, a partire dal processo di selezione, l’assenza di conflitto d’interessi, nonché la garanzia circa la capacità di assolvere i compiti di cui all’art. 39 GDPR. Il tutto tenendo conto del contesto operativo e con un approccio basato sul rischio.
Alcune indicazioni pratiche di massima. La verifica del processo di selezione del DPO deve tenere conto almeno dei criteri indicati dall’art. 37.5 GDPR, ovverosia “qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. L’evidenza che deve essere ricercata all’interno del processo di deve riscontare tali elementi, che possono emergere dal curriculum vitae del DPO, il contratto di servizi sottoscritto (nel caso di DPO esterno) o altrimenti il mansionario assegnato (nel caso di DPO interno).
Nel medesimo controllo, che può essere esteso anche alla fase temporale successiva dello svolgimento dei compiti, occorrerà poi verificare che non sussistano conflitti d’interesse. L’azione correttiva che è possibile indicare nel caso in cui emergano alcune non conformità in questi casi, è senz’altro una (ri)contrattualizzazione del servizio o (ri)definizione delle mansioni. O altrimenti alla rimozione e sostituzione del DPO. Tutte scelte che l’organizzazione è chiamata a rendicontare.
Un ultimo dettaglio: il DPO può già verificare alcuni adempimenti, quali ad esempio la pubblicazione dei propri dati di contatto e la comunicazione al Garante. O anche la capacità dell’organizzazione di assicurare un adeguato coinvolgimento o di fornire le risorse necessarie – tout court: da finanziarie a operative, ivi incluso il supporto da parte del management - per lo svolgimento della funzione e il mantenimento della conoscenza specialistica. Ed è bene che lo faccia continuamente.