Per controllare l’adeguatezza dell’operato del DPO, la redazione e l’esecuzione di un programma di attività sono passaggi che devono essere necessariamente coordinati con l’azione di un referente privacy. Che tale figura sia interna (come nella maggior parte dei casi) o esterna (in casi eccezionali), non sposta la sua capacità di poter rilevare la capacità di reazione e di iniziativa del DPO grazie alla posizione di prossimità e la condivisione di talune competenze relative alla protezione dei dati personali.
Il ruolo reattivo del DPO è valutato sia sotto il profilo della tempestività a fronte di una segnalazione o un quesito, sia avendo riguardo dell’efficacia di azione per completezza e significatività nel consentire all’organizzazione un’efficace applicazione dei correttivi. Il ruolo di iniziativa del DPO non può che essere oggetto di valutazione dovendo fare riferimento a ragioni di opportunità, in quanto anche nel caso in cui si rispetti la soglia minima di azioni e controlli previsti in sede di pianificazione il livello di efficacia di tali interventi potrebbe essere valutato come inadeguato.
Per quanto l’art. 38.3 GDPR prescriva che “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.”, ciò non significa che l’operato del DPO sia insindacabile. Tutt’altro, potrebbe ad esempio essere richiesta una maggiore ampiezza o profondità di interventi a fronte di variazioni dei rischi e del contesto operativo.
Il ruolo del referente privacy nel rapporto e nel controllo dell’operato del DPO deve essere coerente con l’assetto organizzativo e può assumere diverse funzioni quali ad esempio quella di filtrare le segnalazioni interne, raccoglierle e riferirle al DPO; assistere i vertici organizzativi nell’interfacciarsi con il DPO; rendicontare le azioni dell’organizzazione a fronte delle segnalazioni del DPO; verificare l’andamento dei monitoraggi e del programma di attività.
Se dunque è indubbio che una sinergia fra le due figure costituisca un elemento desiderabile e virtuoso in tutte le organizzazioni, occorre sempre ricordare però che deve sussistere una distinzione formale e sostanziale dei ruoli. È particolarmente importante che siano esattamente definiti a livello di consapevolezza, governance, organigramma e procedure, al fine di evitare il rischio di generare conflitti di interessi o situazioni in cui può essere compromessa indipendenza e autonomia della funzione del DPO.
