Integrare la funzione del DPO: informare è un buon inizio (ma non è tutto)

«You Are Not Prepared»

( Illidan Stormrage )

Partiamo dall'inizio: DPO o non DPO? A volte non c'è alcun dilemma, soprattutto per i casi in cui la designazione del DPO è obbligatoria. Salvo ovviamente compiere carpiati sull'escludere il ricorrere di tale obbligo. Peccato che poi sia ben poco coerente con lo scopo di tale funzione e, soprattutto, un'interpretazione a favore della tutela di diritti e libertà fondamentali dell'interessato.

Eppure nel tempo c'è stato un fiorire di carte e pareri in cui si sono spese innumerevoli parole per giustificare il fatto che non si sia voluto - o potuto - investire in tale adempimento. Parole che però sono davvero lacrime nella pioggia nel momento in cui sarà l'autorità di controllo a indicare un correttivo. E la relativa prevedibile contestazione di violazione dell'art. 37 GDPR. Con buona pace della vis creativa profusa in quella che ha forma, sapore e odore di una excusatio non petita.

In questi casi si deve essere pronti ad integrare la funzione nell'organizzazione. Beninteso: questo vale anche nell'ipotesi di designazione facoltativa, dal momento che non va confuso con un mockup. Semmai può essere vista come una versione trial della funzione, che però deve assolvere tutti gli obblighi e le garanzie.

Fun fact: conta non solo il ruolo sulla carta ma anche quello percepito. Sennò ci vuole poco a mettere in giro un sacco di post-it colorati all'interno dei quali c'è scritto DPO. Peccato che se si pensa di risolvere così la vicenda, è molto probabile che il personale ritenga che quella sia una nuova password...

Inserire nei flussi informativi

Un primo passo è prevedere che il DPO sia coinvolto tempestivamente e adeguatamente, come da indicazioni dell'art. 38 par. 1 GDPR, che nel precipitato operativo significa inserirlo nei flussi informativi. A voler essere pratici significa fare in modo che il personale che interviene sui dati conosca la funzione (leggasi: sappia a cosa serve e quali questioni può risolvere) e sappia come contattarla.

Tutto qui? Non proprio. Dipende sempre dalla complessità dell'organizzazione e dalla sua data maturity. Ma è un ottimo inizio. Dopodiché lo stesso DPO deve agire in modo proattivo per promuovere il proprio coinvolgimento...

Forse forse lo sfogo di creatività dovrebbe essere indirizzato più su questa azione bilaterale di coinvolgimento - il cui obbligo, ricordiamoci bene, è comunque in capo all'organizzazione designante - dal momento che esistono innumerevoli modi per attuare un coinvolgimento efficace. Ebbene sì: è il terribile criterio dell'efficacia quello che deve essere impiegato per valutare l'adeguatezza del coinvolgimento.

Quindi sapere le cose dopo non va affatto bene. Saperle mai è anche peggio. Scoprirle chissà quando non si sa come si possa porre nel pantone della presammale. Discorso analogo è non essere in grado di rilevare che un'informazione possa essere rilevante. Sia per il mittente che per il ricevente.

Per tutte queste evenienze bisogna andare alla radice del problema e scoprire che cosa non ha funzionato, ed intervenire per un correttivo. E qui c'è anche una sorte di autovalutazione che deve svolgere il DPO circa le proprie capacità, sempre nell'ottica di un miglioramento continuo.

Verificare il coinvolgimento

Le matrici RACI non sono tutto, e quindi l'assenza del DPO nella matrice RACI non è un'evidenza a carico della contestazione di una mancanza di coinvolgimento. Ma l'autorità garante belga ha individuato già nel 2020 come ogni evidenza offerta da procedure dell'organizzazione, ruoli e responsabilità e istruzioni operative possa valere come indizio.

Ma se un indizio non ha successivi riscontri allora c'è quello che i penalisti chiamano l'alibi costruito. Noi restiamo umili e la chiamiamo paper compliance. Ma nell'istruttoria potrebbero emergere degli elementi per valutare il dolo, dal momento che viene sistematicamente violato ciò che si è detto di fare. Il che non è che sia proprio il miglior biglietto da visita della propria accountability la quale, è bene ricordare, consiste nella rendicontazione degli adempimenti e non in un contest di racconti fantasiosi.

Veniamo alla nota dolente e a smentire una leggenda metropolitana: l'organizzazione designante può sollecitare un coinvolgimento del DPO? Poser e parrucconi direbbero inorriditi che ciò viola l'autonomia della funzione. Recitando come fosse una formula magica quell'art. 38 par. 3 GDPR per cui:

Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.

Cerchiamo d'essere chiari, però. Se c'è una mansione attribuita, un contratto di servizi, diciamo che il datore di lavoro o il committente hanno sempre il diritto di verificare la regolarità della prestazione resa. E in questo caso anche il dovere, dal momento che la responsabilità per il rispetto della norma è e rimane in capo al designante.

E quindi? Il chiarimento è offerto dal WP29, ora EDPB:

aggiunge anche un'ovvietà, andando a confermare che l’autonomia del RPD non comporta un margine decisionale superiore al perimetro dei compiti di cui all'art. 39 GDPR.

Senza troppi giri di parole: il DPO è e deve essere una funzione utile. Ma per esserlo, occorre il suo coinvolgimento. Dopodiché bisogna che il management e ogni livello dell'organizzazione sia in grado di riconoscere tale utilità. E qui avere una buona build giova.

Vero è che se non viene informato il DPO non potrà mai essere utile.

A meno che non sia una sorte di veggente, beninteso.

That's not all, folks.

Ci vediamo alla prossima sessione.