La 'Stele di Rosetta' della privacy per evitare l’isolamento di DPO e Privacy Officer in azienda

Tra i problemi che ogni giorno all’interno delle aziende gli “addetti alla privacy” (DPO, Privacy Officer e consulenti), devono affrontare e risolvere, ci sono sistematiche incomprensioni, divergenze e disaccordi con i “non addetti alla privacy”.

Capita, infatti, che detti professionisti, quando forniscono le giuste indicazioni ed istruzioni per risolvere problemi organizzativi o contrattuali, vengano inopinatamente osteggiati da colleghi o clienti che non comprendono la fondatezza, la validità e l’utilità di tali istruzioni/indicazioni.

Si tratta verosimilmente di un vero e proprio problema di comunicazione interpersonale. A tal riguardo, giova menzionare il russo Roman Jakobson, considerato uno dei fondatori della scienza della comunicazione, il quale ha elaborato uno schema che descrive con grande efficacia i 6 elementi essenziali del processo comunicativo, che necessita sempre di un emittente, di un destinatario, di un messaggio, di un contesto, di un canale e di un codice.

Le difficoltà degli addetti alla privacy

Lo schema prevede che l’emittente invii un messaggio (cioè un’informazione o uno stato emotivo) al destinatario in un determinato contesto, attraverso un canale (i.e. uno strumento di contatto fisico o virtuale) e con l’utilizzo di un codice, che è un sistema di regole conosciuto e condiviso sia dall’emittente che dal destinatario (e.g. il linguaggio) e che permette al primo di enunciare il messaggio e al secondo di interpretarlo.

Applicando questo schema, è agevole indurre che le difficoltà che gli “addetti alla privacy” incontrano quando si confrontano con coloro che non sono “dentro la materia”, dipendono, evidentemente, da un diverso codice comunicativo utilizzato da ciascuno.

Infatti in varie occasioni può accadere che i “non addetti alla privacy”, per trattare problemi riguardanti la protezione dei dati personali, utilizzino le categorie giuridiche che fanno parte del loro strumentario e questo avviene poiché essi considerano il GDPR come una fonte del diritto analoga a quelle da loro usualmente utilizzate.

Così, è capitato che anche bravi giuristi, penalisti, civilisti o amministrativisti, ma non esperti in materia di Data Protection, abbiano confuso l’accountability con la discrezionalità amministrativa o il ruolo privacy dell’autorizzato o del responsabile del trattamento con quello del “procurator” del diritto civile nazionale.

Quindi per risolvere le citate incomprensioni o divergenze è sufficiente utilizzare lo stesso codice comunicativo, lo stesso linguaggio, i.e. le stesse categorie giuridiche. E per poter intendersi è necessario avere piena consapevolezza che per trattare problemi in materia di Data Protection devono essere utilizzati principalmente i concetti inseriti nel “Framework Normativo” del GDPR.

Una "cerniera” tra l’Ordinamento Eurounitario e quello Nazionale 

Per questa finalità si può far leva su una norma che funge da “cerniera” tra l’Ordinamento Eurounitario e quello Nazionale e che, con un’immagine suggestiva, può essere considerata una sorta “Stele di Rosetta della Privacy”.

Si fa riferimento all’art. 22 del D.Lgs. 101/2018 che testualmente dispone che “le disposizioni dell'ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell'Unione europea in materia di protezione dei dati personali”.

Questa “chiave di decifrazione” dell’ecosistema privacy, è ribadita anche dai Garanti Europei che al punto 13 delle Linee Guida EDPB 7/2020 chiariscono testualmente che “i concetti di “titolare del trattamento” e di “responsabile del trattamento” sono concetti autonomi, nel senso che, sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. Il concetto di titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza.

Non è quindi un caso se l’art. 39/5 del GDPR impone ai titolari ed ai responsabili del trattamento l’obbligo di designare come DPO non esperti giuristi ma persone in possesso della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti fissati dall'articolo 39 del GDPR.

È quindi auspicabile che tutti coloro che siano chiamati a trattare questioni relative alla protezione dei dati personali in azienda abbiano piena consapevolezza della necessità di utilizzare lo stesso codice comunicativo dei DPO e dei Privacy Officer, anche per consentire a costoro di polarizzare gli sforzi solo sugli obiettivi di business in un clima sereno ed equilibrato ove possano sentirsi meno isolati.

Articolo di Giuseppe Alverone, Data Protection Officer (DPO) certificato secondo lo standard nazionale UNI 11697:2017, membro di Federprivacy