Premesso che non c’è alcuna pretesa di ripercorrere passi platonici, è opportuno precisare che l’azione del DPO, per quanto indubbia funzione di responsabilità e idonea a produrre effetti sulla conformità dell’organizzazione designante, non può essere considerata come unica fonte di responsabilità in caso di sanzioni o incidenti di sicurezza.
Ovviamente qui non si vuole parlare dei DPO “multiaccount” con centinaia di incarichi, per cui fuor di dubbio sussiste una duplice responsabilità tanto per chi designa quanto per chi offre un ruolo che si esaurisce nella mera designazione formale senza alcun tipo di attività concreta. Tali categorie di soggetti sono destinati infatti al girone degli indifendibili, dirimpettai di chi ancora chiede il consenso per l’invio del curriculum vitae e l’autorizzazione al trattamento dei dati personali per partecipare al processo di selezione.
È bene ricordare che il ruolo del DPO si svolge con una funzione di sorveglianza e advisoring senza possibilità di entrare nelle scelte direzionali, e la garanzia del suo coinvolgimento è un obbligo che incombe sull’organizzazione.
La colpa d’organizzazione che è dietro un incidente di sicurezza e il conseguente data breach, o la mancata conformità alle prescrizioni in materia di protezione di dati personali, può essere dovuta all’inazione o ad un’azione non corretta del DPO ma non è sempre necessariamente ascrivibile a tale soggetto. Anzi, in molte occasioni spesso tanto il DPO quanto il CISO hanno occasione di snocciolare una serie di “ve l’avevamo detto” richiamando tempi in cui venivano visti come profeti di sventura nel segnalare le vulnerabilità.
Nella sua attività consulenziale, il DPO può suggerire dei piani di azione per il trattamento delle non conformità rilevate, ma la decisione a tale riguardo è comunque assunta dalla direzione la quale può anche scostarsi (motivatamente, ad esempio per ragioni di budget) da tali indicazioni. Occorrerà sempre essere in grado di dimostrare, in forza del principio di responsabilizzazione, il processo decisionale che ha portato all’adozione di talune scelte, e proprio in tale iter può essere comprovato il coinvolgimento del proprio DPO (in negativo, è l’ambito in cui viene rilevato il suo mancato coinvolgimento e la conseguente violazione dell’art. 38.1 GDPR).
Nell’attività di sorveglianza, la garanzia del flusso informativo e il riscontro alle richieste del DPO sono elementi che devono trovare riscontro all’interno delle evidenze prodotte dall’azione di tale funzione e dai rapporti che ha anche e soprattutto con i referenti delle aree dell’organizzazione in cui sono svolte attività sui dati personali o determinate le misure di sicurezza.
Insomma: la conversione del “piove, governo ladro” con “data breach, è colpa del DPO” rischia di indurre un mindset impropriamente diffuso che addormenta la ragione delle organizzazioni sulle proprie responsabilità.
E si sa, il sonno della ragione genera mostri…
