Dal 2018 e ad ogni primavera, all’interno del mondo della protezione dei dati personali si assiste ad una fioritura stagionale di pensieri e riflessioni sul ruolo del DPO. Sebbene il 25 maggio pre e post 2016 sia e rimanga noto per essere il towel day, è anche un comple-GDPR. E così il suo approssimarsi…inevitabilmente ispira. Ispira però alcune speranze ed ambizioni che incontrano – per enfasi ed attendibilità – un esito pari a quello di un oroscopo di capodanno. Recitano così: “Questo è l’anno del DPO”, mentendo in modo più o meno consapevole ed interessato.
Possiamo dire che la scelta del DPO abbia sin dal principio fatto emergere diffusamente alcuni criteri assurdi anche censurati in sede di aggiudicazione, che sono stati figli di un’iniziale incertezza che è stata cavalcata da chi ha accumulato spregiudicatamente incarichi. Talune volte – e non sorprenderà i più – anche in conflitto d’interesse. E se è vero che le organizzazioni tutt’ora ricercano e stanno ricercando dei parametri per determinarne il costo al fine di comparare più offerte, il più delle volte l’unico criterio utilizzato è stato quello del prezzo più basso. Fatto che è stato riscontrato e tutt’ora è riscontrabile soprattutto in ambito pubblico.
L’Autorità Garante, d’altra parte, ha prodotto delle FAQ solo successivamente all’applicazione del GDPR richiamando per lo più i lavori del WP29/EDPB e pubblicando solo nella primavera del 2021 un documento di indirizzo per la funzione di Responsabile della Protezione dei Dati in ambito pubblico. E dunque in parte i chiarimenti sono intervenuti solo successivamente all’ingresso – per obbligo normativo – di tale funzione, richiedendo azioni correttive.
E se possiamo ribadire con relativa certezza che non sempre è colpa del DPO quando un’organizzazione si trova ad essere oggetto di sanzione o di un data breach, spesse volte la fonte del problema è stato un mancato coinvolgimento della funzione. Fatto che lo stesso DPO avrebbe dovuto segnalare, e che il più delle volte è rimasto inascoltato. Il motivo può essere stato tanto insufficienza della “voce” quanto quella di un “orecchio”, ma il precipitato è sempre stato inadeguatezza di un ruolo pivotale sotto l’aspetto sostanziale.
È passato più di un triennio dall’applicazione del GDPR e dalle prime designazioni – per obbligo o facoltà – di alcuni DPO. Ovverosia un tempo minimo per gli incarichi che ha consentito di aver avuto effettivamente una tutela dell’indipendenza di funzione. Ma soprattutto – e qui sta la valutazione che ciascuna organizzazione deve svolgere – per poter estrarre un saldo dell’attività svolta e la continuità d’azione di sorveglianza, riscontro ai quesiti formulati nonché ad un ruolo attivo nel monitoraggio degli adempimenti.
E se la valutazione è quella di inadeguatezza, il bivio è questo: o viene fornito un correttivo (e dunque: maggiori risorse alla funzione), o altrimenti è tempo di cambiare – o rimuovere – il DPO. Tertium non datur
