Qual è il perimetro entro cui l’apporto consulenziale del DPO previsto dal GDPR può (o ancor meglio: deve) svolgersi?
Quasi certamente, al momento attuale sarebbe più facile rispondere alla domanda fondamentale sull’Universo (spoiler: la risposta è 42), dal momento che le linee guida WP243 non sembrano affrontare direttamente questo argomento, tutt’altro che di secondaria importanza su un piano pratico ed operativo. Altrettanto certamente, saranno gli interventi delle autorità di controllo a fornire maggiore chiarezza a tale riguardo. Non è infrequente che un erroneo coinvolgimento del DPO all’interno di determinate questioni possa far emergere un conflitto d’interessi o altrimenti una serie di attività inidonee per lo svolgimento efficace del ruolo proprio di sorveglianza della funzione.
L’art. 39.1 lett. a) annovera fra i compiti del DPO: “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;”. L’intera attività di consulenza svolta nei confronti dell’organizzazione deve essere però intesa come parte dello svolgimento dei compiti di controllo in forza dei quali ad esempio è necessario disporre delle informazioni rilevanti, poter riferire direttamente ai vertici e fornire il proprio parere.
Il nodo dirimente è dunque nella c.d. second opinion del DPO. Questi interviene su una decisione già formata (in tutto o in parte), verificandone la sostanziale adesione alla normativa in materia di protezione dei dati personali e, ove necessario, dando all’organizzazione alcuni spunti per svolgere valutazioni alternative o ulteriori.
Un primo limite che senz’altro emerge è però relativo al processo decisionale riguardante i mezzi e le finalità del trattamento di dati personali, per cui altrimenti vi sarebbe una posizione di conflitto di interessi qualora fosse il DPO ad assumere, sostanzialmente, alcuna decisione a tale riguardo. Fornire un parere comporta un intervento di valutazione su una decisione già maturata ma ancora non del tutto completa ed operativa, da cui l’organizzazione può comunque motivatamente discostarsi. Per quanto riguarda invece il c.d. atto di indirizzo, invece, l’intervento assume una maggiore rilevanza all’interno della fase di progettazione di un trattamento ma riguarda principalmente l’individuazione degli obblighi specifici incombenti sull’attività di trattamento ai sensi della normativa applicabile in materia di protezione dei dati personali.
Il tempo e gli interventi interpretativi dell’EDPB e delle autorità di controllo sapranno certamente chiarire questo nodo di assoluta importanza per le organizzazioni e per i DPO, ma le migliori prassi che le organizzazioni dovranno implementare (e garantire) devono almeno tenere conto dei due elementi chiave sopra delineati. In positivo, l’azione del DPO deve svolgersi sempre in funzione del ruolo di sorveglianza; in negativo, deve astenersi da tutti quegli interventi da cui possano insorgere situazioni di conflitto d’interesse.
