NEWS

La pandemia ci ha insegnato che fare il DPO è più complicato di quanto pensavamo

Quando negli anni '90 sorse la necessità per le grandi società americane di tutelarsi dalle crescenti preoccupazioni che i consumatori nutrivano riguardo l’utilizzo dei loro dati personali man mano che si sviluppava il mondo digitale, fu istituita la figura del “Privacy Officer”, che fu concepita come difensore delle aziende.

Durante la pandemia i DPO sono stati messi a dura prova con molti grattacapi di non facile soluzione

A distanza di molti anni, nel 2018 anche in Europa è stata introdotta una figura simile, quella del “Data Protection Officer”. Anche se il GDPR aveva messo in chiaro fin da subito che, per assolvere diligentemente ai suoi compiti, il DPO non avrebbe potuto essere un mero esecutore degli ordini del titolare, in quanto doveva rimanere indipendente nello svolgimento del suo ruolo ed evitare conflitti d’interesse, solo con il boom di casi complessi e delle crescenti situazioni di emergenza negli ultimi anni, gli stessi Data Protection Officer hanno dovuto prendere atto che non solo non possono essere degli “yes man” ad esclusivo servizio del management, ma sempre più spesso hanno bisogno essi stessi di tutelarsi mentre affrontano situazioni caotiche come un data breach in cui in hanno solo 72 ore per dare la loro consulenza al titolare che deve determinare se occorre effettuare o meno la violazione all’autorità ed eventualmente anche ai diretti interessati.

E questa percezione del bisogno di “autodifesa” per il DPO è diventata quanto più lampante durante tutto il periodo di emergenza sanitaria da Covid-19, in cui le situazioni critiche e fuori dall’ordinario sui trattamenti di dati personali sono state imprevedibilmente all’ordine del giorno.

Giusto per ricordare qualcuno dei grattacapi che non ha fatto dormire sonni tranquilli ai DPO durante la pandemia, basti pensare agli impatti privacy sulla rilevazione della temperatura corporea dei dipendenti agli ingressi del lavoro, sulle tonnellate di autocertificazioni sullo stato di salute, sui termoscanner, sulle app di tracciamento aziendali, sul ricorso repentino allo smart working, e più di recente sul controllo dei green pass.

E in queste circostanze complicate da gestire, il DPO si è trovato pure insidiato da vari soggetti che sempre hanno potenzialmente qualcosa da rimproverargli o da pretendere da lui.

In primis, il titolare del trattamento che lo ha designato, ovvero colui che da una parte gli paga lo stipendio o il compenso, ma al tempo stesso deve astenersi dall’impartirgli istruzioni per quanto riguarda l'esecuzione dei suoi compiti, e che anzi deve ricevere pareri, che non sempre possono essere graditi, su come gestire le questioni riguardanti la protezione dei dati personali.

Il secondo soggetto con cui il DPO ha dovuto imparare a convivere nel corso della sua vita professionale è il Garante della Privacy, perché l’art. 39 del GDPR stabilisce che egli deve fungere da punto di contatto per l'autorità di controllo e cooperare con essa. E come si potrà ben immaginare, questa prescrizione pone il Data Protection Officer tra due fuochi che rischiano entrambi di bruciarlo alla minima distrazione: da una il titolare del trattamento che lo paga per collaborare con chi potrebbe sanzionarlo pesantemente, e dall’altra c’è proprio l’autorità che in forza di legge ha legittime pretese di trovare la sua piena cooperazione.

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Una terza insidia per il Data Protection Officer viene dagli “interessati”, perché l’art. 38 del GDPR prevede che essi possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento UE, e quando una persona arriva a esercitare i suoi diritti sulla privacy, generalmente è quantomeno irritata per come sono state gestite le informazioni che la riguardano, per cui spesso il DPO deve vestire i panni del pompiere per cercare di gettare acqua sul fuoco per evitare che la scontentezza divampi in un incendio la cui puzza di bruciato potrebbe arrivare fino al civico 11 di Piazza Venezia.

In coda a questo non esaustivo elenco di soggetti che tirano il Data Protection Officer per la giacca, ci sono infine i beneamati colleghi di lavoro. Chi è intellettualmente onesto e vive il suo quotidiano nel mondo del lavoro e non in quello dei sogni, sa bene come la convivenza con i colleghi richieda costante pazienza e abnegazione per evitare pericolosi effetti collaterali come ad esempio quello di essere etichettati come antipatici pignoli o guastafeste di turno.

Ad oltre tre anni dall’introduzione del DPO, siamo ora consapevoli che il suo è un ruolo molto più complicato da svolgere di quanto si poteva pensare in passato, e guardando al futuro sulla scorta dell’esperienza maturata durante il Covid-19, tutti quei professionisti che ambiscono a ricoprire questo ruolo, possono trarre una preziosa lezione sia in relazione al proprio inquadramento e al relativo compenso, sia in relazione alle competenze che servono per essere in grado di fronteggiare situazioni critiche o di vera e propria emergenza.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Se una pubblica amministrazione sceglie il Dpo al proprio interno dovrebbe nominare un dirigente o un funzionario di alta professionalità
Next Privacy VS Security: è falsa dicotomia?

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy