Occorre verificare che il DPO della propria organizzazione sia stato designato correttamente e svolga i propri compiti?
Vero è che l’art. 38 par. 3 GDPR contiene una vera e propria “clausola di salvaguardia” per il DPO, per cui tale figura non può essere rimossa né penalizzata, direttamente o indirettamente, per lo svolgimento dei propri compiti così come definiti dall’art. 39 GDPR. Ciò non significa però che al titolare o al responsabile del trattamento sia precluso lo svolgimento di controlli tanto circa l’adeguatezza del DPO sin dall’atto di designazione. Anzi: in ragione del principio generale di responsabilizzazione/accountability, è (e altrimenti non può essere) preciso obbligo del titolare (o del responsabile) verificare che il DPO designato sia proprio quello “giusto” per l’organizzazione, andando ad applicare eventualmente dei correttivi qualora se ne ravvisi la necessità fino al caso più estremo, ovviamente, per cui il DPO può (o in alcuni casi: deve) essere sostituito.
Preliminarmente, è necessario verificare se sussistono i presupposti per cui vi è o meno un obbligo di designazione del DPO da parte del titolare o del responsabile del trattamento. Una volta effettuato tale controllo, è necessario approfondire il momento della designazione, sia essa di natura obbligatoria o facoltativa, tanto nella parte di valutazione delle caratteristiche soggettive del DPO (qualità professionali e capacità di assolvimento dei compiti) che di assegnazione di compiti e responsabilità per mezzo dell’incarico conferito.
Andando ad analizzare lo strumento di controllo creato dall’ICO[1], già da una prima lettura salta all’occhio che, effettivamente, la verifica riguarda (e non può altrimenti riguardare) soprattutto i processi decisionali adottati da parte del titolare o del responsabile per garantire l’efficace inserimento del DPO all’interno del proprio contesto organizzativo e decisionale per quanto riguarda l’applicazione della normativa in materia di protezione dei dati personali. Coerentemente con l’impianto di attribuzione delle responsabilità del GDPR, infatti, è proprio il complesso delle misure tecniche ed organizzative predisposte dal titolare o dal responsabile a dover garantire che la funzione di sorveglianza del DPO sia svolta con indipendenza, autonomia, professionalità e continuità d’azione.
All’atto della designazione occorre dunque come minimo verificare che il DPO:
- abbia un profilo (conoscenze, competenze, abilità) adeguato alle capacità richieste dalla natura dell’incarico;
- sia collocato in una posizione che consente l’effettivo svolgimento della funzione;
- svolga adeguatamente tutti i compiti assegnati dal GDPR (e non sia ostacolato in ciò).
Per logica, i controlli devono riguardare prima di tutto la fase di selezione del DPO e la valutazione del profilo sia per il possesso delle qualità professionali che delle evidenze a sostegno della sua capacità di svolgere i compiti di cui all’art. 39 GDPR.
Fatto ciò, va valutato l’inquadramento all’interno dell’organizzazione del titolare o del responsabile e di conseguenza la sua posizione, affinché sia tale da poter riportare direttamente ai vertici aziendali, venire coinvolto nelle questioni relative alla protezione dei dati personali ed essere un punto di contatto accessibile per gli interessati. Dall’inquadramento è opportuno che emergano anche evidenze circa le garanzie di autonomia e indipendenza, fra cui rientrano l’allocazione di risorse sufficienti per lo svolgimento dei compiti e l’assenza di un conflitto di interessi o penalizzazioni per lo svolgimento della funzione.
Infine,
sul fronte operativo i controlli devono essere concentrati sia sulla
valutazione di corretto operato del DPO attraverso, ad esempio, la raccolta di
evidenze della continuità dell’azione di sorveglianza (es. svolgimento di audit
periodici, attuazione dell’informazione e sensibilizzazione degli operatori)
sia sulla capacità dell’organizzazione di essere recettiva (nei tempi e nelle
modalità) nei confronti delle segnalazioni ricevute.
[1] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/
