Per via dell’emergenza sanitaria del Coronavirus, in questo periodo molte aziende stanno riadattando i propri processi allo smart working e ancor più stanno ricorrendo al telelavoro. Il riadeguamento dell’assetto organizzativo interno non può che avere un impatto anche nei confronti dello svolgimento dei compiti da parte del DPO, il quale è senza dubbio tenuto a considerare il nuovo contesto di operatività, così come la variazione del rischio e l’emergere di nuove minacce relativamente alle attività di trattamento dei dati personali svolte.
Tale obbligo è espressamente previsto dall’art. 39.2 GDPR, secondo cui: “Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.”
È bene chiarire innanzitutto che il DPO deve essere coinvolto dal titolare/responsabile del trattamento in tutte queste modifiche organizzative, in quanto certamente rientrano fra le “questioni riguardanti la protezione dei dati personali” di cui all’art. 38.1 GDPR. Inoltre, è bene procedere in tale sede di coinvolgimento ad un riesame tanto della dotazione di risorse che dei presidi posti a garantire la funzione di punto di contatto (interno ed esterno) del DPO, dovendone assicurare la continuità operativa con particolare riferimento alla funzione di sorveglianza e dello svolgimento degli ulteriori compiti definiti dall’art. 39 GDPR.
Tanto premesso sul mantenimento delle garanzie da parte del titolare/responsabile del trattamento in relazione alla posizione del DPO, è bene precisare quali dei compiti di tale funzione siano destinati ad avere variazioni significative.
Certamente, l’attività di sorveglianza dovrà essere svolta da remoto e dunque eventuali audit andranno riprogrammati tenendo conto di tale diversa modalità di esecuzione. Avendo riguardo dell’attività di informazione e consulenza, invece, nei contenuti andranno approfonditi i profili riguardanti lo smart working o il telelavoro, così come nelle attribuzioni di responsabilità, sensibilizzazione e formazione del personale (come previsto dall’art. 39.1 lett. a) e b) GDPR). Nelle modalità di svolgimento, invece, possono essere previste circolari aziendali, riunioni e classroom virtuali.
Non è escluso inoltre che il DPO in alcuni casi (fra cui ad esempio l’adozione di una politica BYOD) debba sollecitare lo svolgimento di una valutazione preliminare di impatto sulla protezione dei dati al fine di condurre il titolare/responsabile ad una rivalutazione del rischio delle attività di trattamento e di conseguenza segnalare la necessità di aggiornare o implementare presidi di garanzia o misure di sicurezza. Ciò comporta inevitabilmente la consulenza per la stesura di nuove procedure, istruzioni o infografiche riguardanti i nuovi ed emergenti profili di sicurezza e di garanzie per l’effettiva tutela dei diritti degli interessati e il rispetto delle prescrizioni del GDPR. Inoltre, specificamente sul lato della sicurezza la segnalazione del DPO non potrà che riguardare anche tutte le nuove minacce derivanti da contesto, comportamenti degli operatori e strumenti e la conseguente esigenza di valutare e predisporre delle contromisure adeguate.
È bene ricordare inoltre che dal momento che il DPO ha funzione di tutela di tutti gli interessati alle attività di trattamento, fra questi rientrano anche i lavoratori da remoto. Dunque, andrà assicurato il suo coinvolgimento e la sua azione effettiva anche in relazione ai controlli attuabili dal datore di lavoro perché seguano, ad esempio, parametri di proporzionalità e adeguatezza nonché le ulteriori prescrizioni normative (fra cui, di primaria importanza: liceità e trasparenza) sin dalla loro progettazione.
