Definire il perimetro d’azione del DPO

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer

Definire correttamente il perimetro d’azione del DPO è non solo il presupposto per la sua azione efficace, ma anche un’occasione affinché l’organizzazione possa essere consapevole dell’adeguatezza delle proprie risorse e ragionare strategicamente per mantenere l’adeguatezza dei propri assetti organizzativi nel tempo. Il perimetro d’azione del DPO è tutt’ora un campo connotato da alcune incertezze. Le motivazioni sono molteplici. 

Innanzitutto, i suoi margini sono il precipitato di innumerevoli incomprensioni su un personaggio che più che in cerca d’autore possiamo dire essere in cerca di una definizione condivisa, non solo a livello europeo ma anche nazionale. Nonostante la lettera del dettato normativo, i considerando e le linee guida dell’EDPB o del Garante Privacy, o l’azione della task force dedicata dell’EDPB. Possiamo considerare però che alcune variazioni sul tema siano inevitabili, dal momento che la funzione è strettamente correlata al contesto operativo dell’organizzazione e spesso richiede delle soft skill non sempre codificabili secondo una formula one-size-fits-all. 

Non è il piano di attività

Attenzione però a non confondere il perimetro d’azione con il piano di attività, che dettaglia invece lo svolgimento dei compiti per cui è necessario garantire l’indipendenza funzionale richiamata dall’art. 38 par. 3 GDPR (secondo il quale l’autonomia del DPO dev’essere garantita circa lo svolgimento dei propri compiti senza avere conseguenze negative né tanto meno istruzioni).

Quel che è necessario è che sia l’ufficio del DPO sia l’organizzazione convergano su una più che chiara definizione delle questioni relative alla protezione dei dati personali e della capacità d’intervento. Che non solo dev’essere garantita, ma che ci si può attendere a riguardo. Altrimenti l’incertezza genera non soltanto costi maggiori derivanti da inefficienze, ma attrae anche un rischio significativo di compromettere l’efficacia della funzione. Con tutte le conseguenze negative del caso, con impatto sui trattamenti e sulle garanzie per gli interessati.

Impegno e risorse

Dal momento che l’esercizio di un’attività imprenditoriale richiama una responsabilità di gestione nel predisporre e garantire gli adeguati assetti organizzativi per effetto dell’art. 2086 co. 2 c.c., questi ultimi, per quanto riguarda il fatto di dotarsi – o doversi dotare - di un DPO consistono nel garantire i presidi minimi di posizione individuati dall’art. 38 GDPR. Sul piano pratico, l’organizzazione deve così essere in grado di comprendere esattamente quando e come coinvolgere il DPO, nonché la capacità dell’intervento in ordine ad un risultato atteso di compliance (termine da intendersi come realizzazione degli obiettivi stabiliti dalla norma). Questo implica non solo la definizione di un impegno richiesto e richiedibile al DPO, ma anche un computo delle risorse ulteriori ed eventuali da dover stanziare. 

Indipendenza

Il luogo in cui tutto questo si può formare è la riunione fra Direzione e DPO, in modo tale che ci sia un allineamento di obiettivi e di priorità - senza che ovviamente venga meno l’indipendenza della funzione. Come chiarito dalle linee guida WP243 sui Responsabili della protezione dei dati, il divieto di fornire istruzioni è limitato all’esecuzione dei compiti come, ad esempio, l’interpretazione della questione o l’approccio da seguire a riguardo. Invece, definire le modalità operative (quali periodicità delle riunioni o della reportistica e flussi informativi) non solo non compromette l’autonomia della funzione, ma al contrario consente alla stessa di integrarsi all’interno dell’organizzazione. Certo, con uno sforzo da parte del titolare di detta funzione, il quale dovrà assumere un ruolo proattivo nel proporre il proprio coinvolgimento e andare così a condividere con l’organizzazione le coordinate del proprio perimetro d’azione.

Altri compiti

Per quanto riguarda l’ambito dello svolgimento di compiti ulteriori, invece, è bene avere contezza del fatto che questi possono ben essere soggetti ad istruzioni anche sui risultati attesi. Oltre, ovviamente, a non dover realizzare in alcun modo dei conflitti d’interesse da cui possa emergere una compromissione d’indipendenza della funzione, in quanto concorre a definire finalità e mezzi del trattamento. Motivo per cui questi stessi compiti eventuali devono essere oggetto di una discussione condivisa e continua, dal momento che nel tempo potrebbero consumare l’unica risorsa terribilmente limitata e non soggetta ad estensione con un aumento di budget: il tempo.

Tempo che il DPO deve invece allocare principalmente per svolgere efficacemente i propri compiti. Tempo che è altresì una risorsa che l’organizzazione deve garantire a riguardo.