La recente sanzione di 18mila euro comminata dall’autorità di controllo del Lussemburgo per un DPO “inadeguato” sta facendo parlare molti esperti del settore. Se lo si fa per analizzare la decisione con cognizione di causa e onestà intellettuale, sono offerti non pochi spunti e parametri per valutare la selezione evitando errori e soprattutto per responsabilizzare le organizzazioni a tale riguardo nel garantire l’esercizio continuo ed effettivo della funzione.
Se invece la si vuol piegare al proprio interesse, non sarà altro che l’ennesimo tentativo goffo e distorsivo. Dopotutto, già nel 2018 su LinkedIn molti aggiornavano la propria job description inserendo anni di esperienza da DPO, cosa possibile o in caso di esercizio in un mondo immaginifico in cui già esisteva tale figura prima del GDPR o altrimenti in caso di riferimento ad un anno diverso rispetto al parametro terrestre. Chissà adesso che cosa si inventeranno per predare (ancora) il mercato della data protection.
Tanto premesso, i nodi della decisione di maggiore rilievo per individuare dei parametri di verifica possono essere sintetizzati come segue.
Le contestazioni mosse hanno riguardato la mancata adozione dell’informativa in una delle lingue ufficiali (era disponibile solo in inglese) e la mancanza di una sezione dedicata del sito web relativa alla protezione dei dati personali per rendere effettivamente conoscibili i dati di contatto del DPO agli interessati. Il principio di trasparenza comporta infatti la pubblicazione dei dati di contatto del DPO (art. 37.7 GDPR) mediante l’adozione di misure efficaci di comunicazione delle informazioni agli interessati (art. 12.1 GDPR), in modo tale che siano facilmente reperibili.
Con riguardo alle qualità professionali richieste al DPO (art. 37.5 GDPR), il livello di competenza richiesto deve essere parametrato a sensibilità, complessità e volume dei dati trattati, e nello svolgimento dell’attività ispettiva viene indicato come parametro di controllo un’esperienza almeno triennale (“le chef d’enquête s’attend à ce que le DPD ait au minimum trois ans d’expérience professionnelle en matière de protection des données”), ritenuto come soddisfatto dal primo DPO designato come soggetto esterno. Per il successivo, però, non è stata riscontrata alcuna formazione iniziale in materia legale, protezione dati né IT, né esperienza pregressa nel ruolo (“Néanmoins, il convient de constater qu’il n’a pas de formation initiale en matière juridique, de protection des données et informatique, ni ne justifie d’une pratique antérieure en la matière”) in quanto era stato scelto di selezionarlo fra i dipendenti. L’organizzazione ha giustificato il “tentativo” in quanto non era stato possibile trovare candidati idonei e aveva garantito al proprio DPO interno una formazione tramite corsi e il supporto di consulenze esterne, evenienza che però – quanto meno per logica – premetteva l’inadeguatezza del soggetto al momento della designazione e tale elemento non è conforme alle indicazioni del GDPR. Sebbene tale fatto non abbia dato seguito a sanzioni in quanto riguardanti i soli rilievi compiuti all’inizio dell’istruttoria (quando era presente un DPO esterno), l’obiter dictum è comunque significativo.
Ulteriore elemento emerso riguarda il coinvolgimento del DPO, per cui è di indubbio rilievo la frequenza della partecipazione formale di tale figura nell’ambito della protezione dei dati e la capacità di iniziativa (art. 38.1 GDPR). I rilievi dell’autorità di controllo hanno invece evidenziato come una partecipazione meramente reattiva non sia sufficiente ad assolvere i requisiti di coinvolgimento all’interno dei processi aziendali e anzi lo riduce al minimo necessario e in risposta a richieste esplicite dell’organizzazione.
Un’ulteriore violazione contestata riguarda invece il mancato svolgimento effettivo della sorveglianza da parte del DPO (art. 39.1 lett. b) GDPR) per cui deve essere quanto meno previsto e formalizzato un piano di monitoraggio della conformità al GDPR, pur con il coinvolgimento di fornitori di servizi esterni.
Circa invece l’adeguatezza delle risorse fornite al DPO (art. 38.2 GDPR), i parametri di riferimento individuati hanno riguardato la dimensione dell’organizzazione e la garanzia di un’effettiva continuità d’azione della funzione anche in ragione dell’accesso a servizi e risorse umane a supporto. Dal momento che tale fatto non è stato adeguatamente comprovato dall’organizzazione, l’autorità di controllo ha rilevato una non conformità in tal senso.
Al termine di questa breve rassegna, è facile comprendere come il dito sia l’adeguatezza del DPO e che invece la luna sia l’adeguatezza delle organizzazioni a progettare, predisporre e comprovarne una funzione effettiva e conforme al GDPR.
