All’interno del procedimento relativo alla sanzione comminata da parte dell’autorità di controllo belga per il conflitto d’interessi del DPO emerge un profilo istruttorio tutt’altro che irrilevante (sebbene non abbia dato seguito al riscontro di alcuna violazione): la verifica dell’effettivo coinvolgimento della funzione.
L’art. 38.1 GDPR, infatti, impone al titolare o al responsabile del trattamento di assicurarsi “che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Cosa comporta, su un piano operativo, tale obbligo? Come minimo: essere in grado di garantire e verificare l’effettivo coinvolgimento del DPO, definendo i flussi informativi e la ripartizione di ruoli e responsabilità all’interno dell’organizzazione.
Le informazioni documentate circa la “presenza” del DPO dovranno essere ad esempio ricercate:
- nelle procedure adottate dall’organizzazione;
- nelle assegnazioni di ruoli e responsabilità riferite alle attività (es. nella matrice RACI);
- all’interno delle istruzioni operative e dei modelli.
Le evidenze così ricavate sono indizi che possono comprovare un effettivo coinvolgimento “per sistema”, ricordando che però deve avere anche le caratteristiche di tempestività e adeguatezza. Circa la tempestività, l’approccio standard deve consistere in via generale nella consultazione sin dalle fasi iniziali di progettazione, variazione o analisi delle attività di trattamento dei dati personali comunque svolte da parte dell’organizzazione. Per quanto riguarda il parametro di adeguatezza, invece, occorre che il DPO non sia solamente informato bensì coinvolto (con il limite del conflitto di interessi, ovviamente). Occorre infatti che il suo parere comunque espresso sia tenuto in debita considerazione, anche e soprattutto nelle ipotesi di azioni difformi da parte dell’organizzazione, la quale dovrà essere in grado di documentarne correttamente le motivazioni (es. esigenze di budget, differimento per variazioni operative, etc.).
Ad esempio, è necessario che il DPO sia coinvolto all’interno dei gruppi di lavoro che si occupano di:
- svolgimento e riesame di una valutazione preliminare di impatto;
- valutazione di un incidente di sicurezza da cui può derivare una violazione di dati personali;
- riscontro alle richieste da parte degli interessati;
- valutazione dei fornitori di servizi che assumono il ruolo di responsabili del trattamento;
- verifica ed implementazione delle misure di sicurezza;
- progettazione di attività di trattamento di dati personali.
La designazione del DPO (e il suo effettivo coinvolgimento) ha la natura di un atto di organizzazione la cui responsabilità ricade sul soggetto designante (sia esso titolare o responsabile del trattamento), il quale sarà chiamato a dover dimostrare la propria conformità agli artt. 37, 38 e 39 GDPR in caso di controlli da parte del Garante Privacy.
