A parere di molti, è più facile rispondere alla domanda “Quanti angeli possono ballare su una testa di spillo?” piuttosto che occuparsi della vexata quaestio circa il limite di incarichi di DPO per un singolo soggetto. La ricerca di equilibrio, ovviamente, va rimessa al buon senso. Ma è noto che se il buon senso avesse un valore vincolante, allora il diritto non avrebbe ragion d’esistere.
La domanda sorge spontanea apprendendo, ad esempio, dell’esistenza (consolidata da oltre un biennio) di taluni soggetti con centinaia (!) di incarichi da DPO, spesso a basso prezzo. Questi “bidoni aspiratutto” di incarichi da DPO possono essere società di consulenza, studi professionali o singoli professionisti, e hanno destato la maggior parte delle perplessità fra gli esperti del settore, ma non dal mercato di riferimento. Sembra infatti che le organizzazioni che ricorrono a tali servizi non si pongano alcuna domanda a riguardo, forse in parte perché vedono la designazione di un DPO come un ennesimo adempimento burocratico di poco conto.
A voler pensar male si fa peccato ma raramente si sbaglia, dice un adagio. E forse non è solo un problema di consapevolezza bensì di percezione del valore della compliance in ambito GDPR. Se non, in taluni casi, la ricerca di un parafulmine o la presentazione della designazione di tale figura come una vera e propria “salvezza” dall’onere di gestire gli adempimenti in materia di protezione dei dati personali e dalle derivanti responsabilità.
Ebbene: la responsabilità organizzativa è e rimane in capo al titolare o al responsabile del trattamento, anche in caso di designazione del DPO. Anzi: chi designa il DPO è responsabile anche per il rispetto degli artt. da 37 a 39 GDPR, dovendo predisporre misure tecniche e organizzative adeguate affinché gli adempimenti siano effettivi e sostanziali. Contrattualizzare i rapporti e verificare l’operato è fondamentale, e non esiste clausola che esima alcuna organizzazione che, per obbligo di legge o volontariamente, ricorre a tale funzione.
In che modo è possibile ordinare questo scenario piuttosto confuso?
Una migliore definizione da parte delle organizzazioni degli impegni contrattuali richiesti al DPO, ad esempio attraverso la declinazione operativa dei compiti definiti dall’art. 39 GDPR, può essere standardizzata in best practices e giovare alla migliore definizione della funzione. Certamente, sul punto è e sarà fondamentale l’azione informativa del Garante verso tutti gli operatori di mercato.
È auspicabile sul punto un’intensa attività di vigilanza da parte del Garante, il quale già dispone del database dei DPO nominati e può ben individuare (è sufficiente una tabella pivot, o anche semplicemente dei filtri per nominativo) le “anomalie” più eclatanti ed aprire istruttorie per l’applicazione di interventi correttivi ove ne ricorrano i presupposti.
Da parte dei professionisti, infine, è bene che si diffonda un impegno a formulare e presentare delle offerte parametrate per garantire l’effettività dell’incarico, contribuendo così ad eliminare le distorsioni riguardanti il valore della funzione.
