Serve un albo dei DPO? La questione è emersa ben prima del 25 maggio 2018, in cui è entrato in applicazione il GDPR e data da cui – almeno a livello teorico – tutti i soggetti destinatari dell’obbligo di designazione di un DPO avrebbero dovuto provvedere in tal senso, comunicando i dati di contatto al Garante Privacy.
Questione che è rimasta nella camera d’eco (in alcuni casi: d’ego) dei teorici e professionisti della data protection, mentre nel mondo del reale hanno prosperato incertezze sempre più rimarcate e alimentate in modo più o meno consapevole o doloso dai vari attori che si sono affacciati sul nuovo mercato. E se a distanza di un triennio c’è stata qualche rotazione di incarichi, non c’è alcun riscontro circa la reale consapevolezza né del ruolo di tale figura – come evidenziano alcuni bandi pubblici di selezione – né tantomeno delle garanzie che deve prestare.
L’eventuale istituzione di un “albo” dei DPO presenta elementi critici e di opportunità.
Innanzitutto, l’esclusione di un valore abilitante dell’iscrizione a tale albo in quanto andrebbe altrimenti a confliggere con i requisiti richiesti dal GDPR. Dunque, alla pari delle certificazioni di competenze, altro non sarebbe che uno strumento utile esclusivamente per dare dimostrazione di talune conoscenze, abilità e competenze.
L’appartenenza ad un albo può apportare dei vantaggi per assicurare una qualità dei servizi, ma l’attenzione si deve porre sui requisiti d’ingresso, mantenimento e sulla definizione di uno standard che per logica dovrà essere più elevato rispetto a quello già fornito dalla certificazione UNI 11697:2017. Altrimenti, non sarebbe altro che una sovrapposizione senza alcun apporto migliorativo in concreto.
Le migliori opportunità riguardano invece la definizione e condivisione di una deontologia comune dei DPO, un’attività di monitoraggio delle selezioni pubbliche e di segnalazione tanto di best che di worst practices indirizzata all’obiettivo di fornire una corretta comprensione del ruolo di tale funzione. Non è infrequente, infatti, riscontrare assunzioni di incarichi con conflitti d’interesse sin dalla sottoscrizione degli stessi, così come una sostanziale inaccessibilità per i titolari del trattamento agli strumenti e ai parametri di valutazione dell’operato del DPO.
Non da meno un albo può costituire uno spunto per svolgere un’attività di contrasto per prevenire e segnalare fenomeni di dumping dei servizi offerti a tale riguardo, spesso sotto costo o con incarichi fittizi e tutt’altro che rispondenti allo svolgimento dei compiti indicati dal GDPR.
Certamente, però, tali azioni possono anche prescindere dall’esistenza di un albo che costituirebbe un’utile occasione per promuovere una cultura di data protection focalizzata sul DPO. Un’opportunità non esente da rischi, che va pesata riscontrando anche i fabbisogni delle organizzazioni e non solo le esigenze dei professionisti.
