La selezione del DPO? Tutto parte dal management

Come controllare che sia tutto a posto con il DPO nell’organizzazione? Si deve necessariamente partire dalla procedura di selezione, con tutte le evidenze documentali a comprovare che sia stata valutata ogni competenza necessaria allo svolgimento della funzione tenendo conto del contesto organizzativo di riferimento ed evitando, sin dalla designazione, i casi di conflitto d’interessi.

In ambito pubblico è evenienza comune riscontrare la formalizzazione di tale fase, tanto in caso di gara che di affidamento diretto, mentre nel settore privato non è possibile dire altrettanto. Ma la semplice esistenza della procedura non comporta affatto che la stessa sia conforme ai criteri forniti dall’art. 37 par. 5 GDPR. Infatti, la stessa non è sufficiente che sia adottata ma deve essere correttamente implementata ed attuata.

Nell’ipotesi di DPO esterno, la selezione dei fornitori rientra all’interno del processo di gestione acquisti, formalizzato esemplificativamente nel paragrafo 8.4 della ISO 9001:2015 “Controllo dei processi, prodotti e servizi forniti dall’esterno” che viene svolto per prassi da pressoché ogni organizzazione.

Il ruolo del GDPR

Per quanto riguarda tale figura professionale, i requisiti da aggiungere alle fasi di valutazione, selezione, monitoraggio e rivalutazione del servizio svolto nei confronti del fornitore esterno devono tenere conto tanto del GDPR quanto delle Linee guida WP 243 sui Responsabili della Protezione dei Dati. Interessante da notare come l’obbligo di conservazione delle “informazioni documentate di queste attività e di ogni necessaria azione che scaturisce dalle valutazioni”, contenuto nella citata norma di carattere volontario, assuma un valore anche in chiave di accountability.

Il presupposto affinché tutto ciò sia possibile e possa garantire lo svolgimento della funzione deve però essere ricercato a livello di governance. Infatti, senza la consapevolezza circa tale ruolo, le responsabilità e i compiti da assegnare, il management non potrà essere in grado né di individuare i criteri di selezione né tantomeno di valutare le offerte ricevute. E limitarsi così, nella maggior parte dei casi, ad accettare chi presenta il prezzo più basso.

Con il conto in saldo di quanto è stato risparmiato che finirà in capo agli interessati, con ogni incertezza circa la qualità delle tutele effettive che gli stessi potranno ottenere e ricevere da parte dell’organizzazione.

Il medesimo ragionamento, sebbene tenendo conto delle debite differenze, può agevolmente essere applicato anche nell’ipotesi della designazione di un DPO interno. Ovviamente, mutatis mutandis, la gestione delle risorse umane sarà il punto di riferimento dell’attività in luogo della gestione dei fornitori. Se del caso, con l’ausilio di un servizio esterno di recruiting. Ma allo stesso modo è e rimane una responsabilità sempre in capo al management sapere individuare e verificare i requisiti da inserire all’interno del processo di selezione per l’assunzione o, all’interno della PA, nei concorsi e nella mobilità.

(Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia).