di Antonio Ciccia Messia
Il Responsabile della protezione dei dati (Rpd) è il protagonista assoluto della prima frazione di gioco del Regolamento europeo sulla privacy (n. 2016/679). Il cosiddetto Gdpr (General data protection regulation) è partito il 25 maggio 2018. E anche il Data protection officer (Dpo) ha visto la luce e sta muovendo i primi passi nelle imprese e negli enti pubblici.
Nell’attesa che il governo licenzi il decreto legislativo di armonizzazione, e, quindi, in attesa che sia messo nero su bianco quali articoli del «vecchio» codice della privacy sono abrogati per incompatibilità e quali, invece, rimangono efficaci e operativi, il Dpo/Rpd va avanti, anche se tra alcune ambiguità e molte aspettative.
Ambiguità, perché non si comprende bene il ruolo che deve gestire, quando deve essere nominato obbligatoriamente e quali siano le condizioni per evitare il conflitto di interesse che minerebbe la legittimità della nomina.
Si è detto anche aspettative, perché molto spesso è inteso come un deus ex machina, che d’un tratto risolve tutti i problemi della privacy dell’azienda.
Certo è un po’ presto per fare bilanci, ma già adesso si possono vedere alcune linee di tendenza.
Ma partiamo dalle ambiguità
Il primo profilo in chiaroscuro riguarda il ruolo assegnato al Dpo/Rpd. Sulla carta e cioè leggendo gli articoli del Regolamento UR 2016/679 (direttamente applicabile anche in Italia) si tratta di una figura diversa da un manager privacy: il Dpo è un consulente/sorvegliante. Risponde alle richieste di informazioni e di consulenza, ma non per gestire la privacy, ma per aiutare altri a gestire la privacy. Nella prassi il Dpo/Rpd viene tirato per la giacchetta e si cerca di affidargli la macchina aziendale della privacy.
Non ci sono coordinate normative o linee guida esaustive e così l’interpretazione del passaggio chiave dell’obbligo di nomina (se il trattamento è su larga scala) è lasciato all’azienda, che sarà sanzionata se sceglie male. Un dilemma tragico, per certi versi.
Terzo punto, posto che lo si nomina, come si fa a evitare il conflitto di interessi: meglio un Dpo/Rpd interno o esterno?
Anche qui la verifica della causa ostativa alla nomina, che espone a sanzione amministrativa se inosservata, è tutta appannaggio dell’azienda, e non è un compito facile: si consideri che il trattamento dei dati è un concetto pervasivo, immanente e gassoso nella sua estensione a tutti gli uffici aziendali. O si fa finta che certi ruoli toccano i dati personali, ma non fa niente, oppure non c’è soluzione alternativa alla creazione di un ufficio ad hoc.
La prima opzione va, comunque, approfondita per coprire quei casi che ci sono e sono numerosi di nomine interne. Ad esempio si potrebbe dire che la funzione di controllo di gestione sia compatibile con la funzione di Dpo/Rpd: l’importante è assumere l’impegno contrattuale di non svolgere prestazioni in potenziale conflitto di interessi.
Eppure si guarda al responsabile della protezione dei dati, giustamente, pieni di aspettative.
La normativa europea è vaga, a tratti addirittura difficilmente leggibile, incompleta e lacunosa.
Eppure chiede alle aziende di scrivere molti documenti, dei quali non esiste un modello predefinito. Un aiuto di natura consulenziale è essenziale. Così come sono necessari Dpo/Rpd preparati. E così come sono decisivi strumenti di lavoro per il Dpo/Rpd. È una funzione che prevede attività tipiche (informazioni, consigli, atti di sorveglianza, pareri sulla valutazione di impatto privacy, corrispondenza con Garante e clienti/utenti).
Il Dpo/Rpd deve conoscere il suo mansionario e i suoi limiti. Il rodaggio è iniziato e il Dpo/Rpd deve anche saper sfruttare a dovere un’opportunità che gli da l’articolo 39 del Regolamento: consultare il Garante della privacy, che non mancherà di supportare la rete dei Dpo italiani. (riproduzione riservata)
Fonte: 