Passaggio di consegne del DPO fra accountability e correttezza

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer 

La corretta gestione del passaggio di consegne del DPO - o meglio: dell’Ufficio DPO, tanto nell’ipotesi di designazione interna quanto di designazione esterna, costituisce una fase cruciale che deve essere oggetto di particolare attenzione e cura non solo da parte dell’organizzazione ma anche da parte dei soggetti coinvolti. 

L'obiettivo di cui tenere conto non deve essere infatti limitato a quello di adempiere formalmente alle prescrizioni normative a riguardo, ovverosia la permanenza di una designazione nelle ipotesi in cui questa sia obbligatoria (art. 37 par. 1 GDPR) e l’aggiornamento dei dati di contatto pubblicati e comunicati all’autorità di controllo (art. 37 par. 7 GDPR), ma deve estendersi alla garanzia di una continuità d’azione della funzione. Dal momento che il DPO svolge i propri compiti di presidio dei diritti e delle libertà degli interessati e per rafforzare il rispetto della normativa in materia di protezione dei dati personali, ogni interruzione o discontinuità può esporre ad un rischio sia le persone i cui i dati personali sono trattati (ad es. per effetto di trattamenti illeciti e del mancato o inesatto riscontro all’esercizio di diritti) sia l’organizzazione (ad es. per sanzioni e azioni risarcitorie). Con possibili ricadute dirette sull’accountability nonché anche sugli aspetti di gestione della sicurezza dei trattamenti.

Pianificazione

Nel momento in cui deve svolgersi un avvicendamento di incarichi i vertici dell’organizzazione – e quindi: la Direzione – devono essere in grado di pianificare il tutto e garantire che il passaggio di consegne non vada a compromettere le strategie di data protection intraprese. Questo comporta anche prendere in considerazione uno stanziamento di risorse adeguate a riguardo, fra cui ad esempio rientrano supporto, tempo, informazioni e servizi. Può essere previsto un periodo di affiancamento in modo tale che il soggetto uscente possa condividere con il soggetto entrante l’azione realizzata e programmata dall’Ufficio del DPO, con tutti i chiarimenti relativi al contesto organizzativo e le strategie intraprese dall’organizzazione. Lo scopo è quello di valutare l’apporto della funzione a riguardo tenendo conto delle scelte che sono state adottate, fattore particolarmente rilevante soprattutto nell’ipotesi diffusa delle scelte di “second best”, le quali spesso riscontrano la realtà e hanno affrontato i limiti dell’applicazione in concreto delle prescrizioni cui è soggetta l’organizzazione.

Collaborazione

L’intervento dell’organizzazione è però una condizione necessaria ma non sufficiente, dal momento che è indispensabile che avvenga una collaborazione corretta e trasparente da parte dei soggetti coinvolti con lo scopo di perseguire un’efficacia sostanziale e non meramente formale degli adempimenti. In ambito pubblico, è opportuno tenere conto anche della prassi comune di fare ricorso ad una designazione transitoria (poiché non è ammissibile alcuna vacatio) estendendo l’ambito anche ad una terza figura, la quale dovrà essere in grado di acquisire non solo una relazione di attività da parte del DPO uscente, ma di comprendere anche le motivazioni sottese allo svolgimento dei compiti ed informare in modo adeguato il DPO entrante. Sul piano strategico e operativo, questo si traduce in uno svolgimento congiunto dell’attività di riesame del piano d’azione dell’ufficio del DPO con il necessario coinvolgimento degli altri stakeholder dell’organizzazione. Occasione che si rivela utile per “presentare” la figura del DPO entrante e favorire soluzioni di continuità, evitando costi in termini di tempo ed efficienza.

Comunicazione

Le qualità professionali indicate dalla norma come requisiti per la figura del DPO devono pertanto trovare espressione non solo in una conoscenza specialistica della materia della protezione dei dati personali, del contesto e del settore di attività, ma devono essere integrati da un approccio orientato alla salvaguardia della funzione stessa e dei suoi obiettivi di tutela e garanzia. Nel corso del passaggio di incarichi è necessario di conseguenza porsi nella condizione di instaurare sinergie e svolgere comunicazioni corrette ed esaustive, seguendo il canone generale della correttezza professionale declinato sempre tenendo in debita considerazione i rischi inerenti al trattamento (art. 37 par. 2 GDPR).