Qualche giorno fa un cliente mi ha posto un quesito in merito alla figura del DPO che vi sottopongo, dato che, nelle mie ricerche, non sono riuscito a trovare spunti decisivi in merito alla questione.
Il cliente, società soggetta all’obbligo di nomina del DPO, si trova nella condizione di dover svolgere una nuova selezione per la nomina del medesimo, dato che il suo attuale Data Protection Officer (selezionato dalla società appositamente per ricoprire questo ruolo e assunto a tempo pieno) ha dato le dimissioni, con preavviso in scadenza a breve.
Poiché le selezioni per la nomina del nuovo DPO non hanno ancora portato all’individuazione della persona adatta, come dovrebbe affrontare il cliente il periodo di vacatio tra il vecchio DPO ed il nuovo?
Analizzando la normativa di riferimento, vengono in rilievo le seguenti norme del GDPR:
- considerando 97: “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello intero del presente Regolamento”;
- art. 37: “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati … il responsabile della protezione dei dati è designato in funzione della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’art. 39″;
- art. 37, comma 7: “Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.
Nelle FAQ del nostro Garante della Protezione dei Dati, si trovano le procedure di nomina e di revoca dei dati di contatto del DPO: nel modello di revoca dei dati di contatto del DPO,nella nota 1, il Garante precisa che “qualora il Titolare/Responsabile proceda alla designazione di un nuovo RPD, indipendentemente dalla motivazione, non dovrà effettuare la revoca della comunicazione dei dati di contatto del precedente RPD, ma dovrà effettuare una nuova comunicazione che sostituirà automaticamente quella effettuata in precedenza”.
Anche il Garante, quindi, non prende in considerazione l’ipotesi di un periodo di vacatio tra la prima e la seconda nomina, dando sostanzialmente per scontata una sostituzione senza soluzione di continuità del DPO.
Dovendo dare risposta al quesito del cliente, mi sono, quindi, soffermato a valutare se l’avverbio “sistematicamente” utilizzato dall’art. 37 del GDPR potesse offrirmi qualche spiraglio interpretativo ma neppure la versione inglese del GDPR riesce a chiarire se sia preferibile:
- consigliare al cliente di nominare un DPO ad interim, scegliendolo tra le proprie risorse interne, ancorché tecnicamente non preparate in modo adeguato per svolgere le funzioni tipiche richieste a questa figura oppure non sufficientemente indipendenti, oppure
- suggerire al cliente di accelerare il più possibile le selezioni e, nel frattempo, porre in essere alcuni accorgimenti organizzativi, ad esempio delegando temporaneamente – magari alla funzione legale, se presente – le funzioni del DPO per la sola gestione delle attività non differibili, ma senza la formale comunicazione di nomina al Garante di un soggetto che oggettivamente non è in possesso di tutti i requisiti richiesti dal GDPR.
Qualunque soluzione si voglia adottare, sembra inevitabile violare una norma del GDPR: o quella della competenza/indipendenza o quella della designazione e comunicazione al Garante.
Personalmente, dato che ritengo che il GDPR imponga ai Titolari del trattamento obblighi sostanziali e non adempimenti formali, sarei propenso a sposare la seconda soluzione, che non crea la finzione (soprattutto verso l’Autorità indipendente) dell’esistenza di un DPO che non è un effettivo DPO, unicamente per ottemperare all’obbligo formale di comunicazione previsto dall’art. 37, comma 7, GDPR.
Questa soluzione è percorribile se posso dare documentata prova – secondo il principio di accountability – che le selezioni per la sostituzione del DPO si stanno protraendo più del necessario non per inerzia o negligenza del Titolare del trattamento ma proprio per la necessità di individuare una persona con le adeguate competenze.
In un’ottica di bilanciamento degli interessi in gioco, ritengo che il Titolare del trattamento sarebbe da considerarsi “più inadempiente” se non rispettasse il prescritto requisito di nomina di un soggetto competente, rispetto a quello della formale comunicazione al Garante.
Tuttavia, è pur vero che le sanzioni previste dall’art. 83 del GDPR sono così elevate da sconsigliare a qualunque impresa di rimanere senza un DPO formalmente incaricato, con dati di contatto regolarmente comunicati all’Autorità Indipendente.
Se, pertanto, si volesse optare per la soluzione alternativa, a mio avviso si dovrebbe perlomeno prevedere che il DPO nominato ad interim:
- sia temporaneamente escluso da quei compiti che possano dar luogo a conflitti di interessi;
- si consulti, all’occorrenza, con consulenti esterni specializzati in materia di protezione dei dati, dotati di quelle adeguate competenze mancanti al DPO designato dal Titolare del trattamento come sostituto;
- si limiti, per quanto possibile, alla gestione delle sole attività ordinarie non differibili (supportando, ad esempio, il Titolare del trattamento nella gestione delle richieste degli interessati nei termini previsti dal GDPR ma astenendosi dal fornire pareri sulla DPIA);
- duri in carica il minor tempo possibile.
Dato che la situazione sopra descritta può potenzialmente verificarsi in tutta una serie di casi più o meno prevedibili ed improvvisi, le imprese più esposte al rischio di rimanere per un certo lasso di tempo senza un valido sostituto nella funzione di DPO, dovrebbero opportunamente fare uno sforzo aggiuntivo di programmazione, valutando ex ante il rischio e dotandosi di idonee misure per affrontare tale eventualità.
Una possibile soluzione potrebbe, ad esempio, essere quella di impostare, quasi fosse una parte del piano di business continuity, una procedura organizzativa interna sulla base di criteri prestabiliti (ruolo e/o altre specifiche caratteristiche delle funzioni aziendali) che permetta di determinare in modo automatico il sostituto del DPO per l’ipotesi di una sua improvvisa assenza.
In questo modo, oltretutto, colui che occupa il ruolo di (potenziale) sostituto, potrebbe essere destinatario, nel tempo, di una specifica formazione che, all’occorrenza, gli permetterebbe di assumere la funzione rimasta vacante con sufficienti competenze specialistiche, nel rispetto di quanto richiesto dall’art. 37 del GDPR.