Successivamente alla fase di selezione e designazione del DPO, in che modo un’organizzazione può garantire e dimostrare che la funzione svolga correttamente il proprio ruolo di sorveglianza a tutela degli interessati e del rispetto sostanziale del GDPR? Insomma: se comunque la responsabilità per garantire la posizione e il ruolo operativo del DPO ricade sul titolare del trattamento, questi deve essere in possesso di alcuni strumenti per poterne valutare l’azione e decidere di conseguenza, anche mediante l’applicazione di correttivi.
Premessa la necessità di conoscere la figura professionale, tanto nella dimensione statica dei requisiti quanto in quella dinamica dell’attività, buone prassi vogliono che già nella fase di designazione del DPO – con incarico o mansione interna ad un dipendente – si vada a stilare quanto meno un programma condiviso con i vertici dell’organizzazione e i referenti operativi per dare definizione ad una soglia di attività accettabile. Il contenuto essenziale di tale programma è la declinazione operativa dei compiti indicati dall’art. 39 GDPR, con una definizione dei tempi di risposta per le attività propriamente reattive (quali ad esempio il riscontro a quesiti o il rilascio di un parere), mentre per le attività di iniziativa (quali ad esempio l’informazione o lo svolgimento di audit) occorre precisarne i contenuti minimi.
Il principale criterio di riferimento nell’elaborazione del programma di attività deve essere necessariamente quello dei “rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo” (art. 39.2 GDPR). Dopodiché, è anche possibile assegnare ulteriori compiti e funzioni all’attività di monitoraggio così programmata, tenendo conto sempre del limite del conflitto di interessi (art. 38.6 GDPR).
Chi può – o deve – sorvegliare però l’attuazione di tale programma, e soprattutto in che modo? Il referente privacy interno, in quanto collocato nel ruolo operativo più prossimo al DPO, è il soggetto più in grado di riferire ai vertici dell’organizzazione lo stato di avanzamento e comunicare tutte le eventuali criticità riscontrate. Definire anche tale flusso informativo – parallelo a quello fra DPO e vertici direzionali – garantisce una più immediata capacità di reazione e migliora i processi delle decisioni strategiche.
Nel caso in cui il programma subisca dei cambiamenti nella fase di attuazione, può essere ovviamente aggiornato e corretto purché venga mantenuta un’efficace attuazione di tutti quei presidi impostati nella pianificazione di attività. Una motivazione sintetica spesso è più che sufficiente per rendicontare una scelta che porta a diverse modalità di esecuzione, il più delle volte dovute a esigenze di contesto interno (ad es. una riorganizzazione o l’impiego di diversi strumenti) o esterno all’organizzazione (ad es. la pubblicazione di linee guida o interventi interpretativi dell’autorità di controllo).
