Trascorso un mese dall’entrata in vigore del GDPR i dubbi sul ruolo e sulle mansioni del Data Protection Officer sono molteplici.
L’assenza di codici di condotta, da seguire per svolgere al meglio le proprie funzioni, di certo non ha aiutato le nuove figure professionali. Cerchiamo di fare un po’ di chiarezza sui compiti e sul ruolo del Responsabile della Protezione dati all’interno del Management aziendale
I compiti del DPO
Il Responsabile della Protezione dei dati svolge un’attività di informazione e consulenza sugli obblighi derivanti dal GDPR e dalle altre disposizioni in materia di protezione dei dati personali. Inoltre, verifica l’osservanza da parte del Titolare e del Responsabile del trattamento degli obblighi imposti dalla normativa comunitaria e fornisce, ove richiesto, un parere sulla “valutazione d’impatto”, anche detta DPIA.
Pertanto, alla luce del dettato normativo europeo, si deduce che i compiti di questa figura siano prettamente di guida, controllo e coordinamento delle attività svolte dal Titolare e dal Responsabile del trattamento in materia di protezione dei dati personali.
In Italia, invece, molti ritengono erroneamente che sia il DPO a doversi occupare di tutti gli adempimenti necessari affinché un’azienda possa conformarsi alle disposizioni europee; compiti che, invece, come già detto spetterebbero al Titolare o al Responsabile del trattamento.
Viene così snaturata la ratio dell’esistenza stessa di tale figura fino ad arrivare a conseguenze paradossali. Il DPO, in questo caso, oltre a svolgere i compiti di qualcun altro, si ritroverebbe anche nell’assurda situazione di essere il controllato e il controllore di se stesso.
La valutazione d’impatto ed il problema del mancato stanziamento delle risorse ai DPO
Come già anticipato, tra le attività che il Responsabile della Protezione dei dati personali è chiamato a svolgere per il titolare o per il responsabile del trattamento c’è la redazione del “Data Protection Impact assessment”, in altre parole la valutazione d’impatto sulla protezione dei dati personali. Il DPO, quando richiesto, deve esprimere il proprio parere in merito ai rischi legati ad un determinato trattamento ed inoltre deve prevedere anche tutte le misure necessarie per attenuare tali pericoli.
In questo caso egli non può operare da solo: affinché la valutazione d’impatto possa effettivamente assurgere al proprio compito è necessario che nella stessa converga il lavoro congiunto di diverse personalità (esperti informatici, giuridici ecc). Tuttavia, in Italia, tranne in alcuni casi, i DPO sono stati lasciati completamente da soli durante la predisposizione di tale documento.
Questa è soltanto la prima di numerose difficoltà che i DPO hanno dovuto affrontare durante il primo mese di applicazione del GDPR. Un’altra questione rilevante riguarda l’obbligo dei titolari e dei responsabili del trattamento, previsto dal legislatore europeo all’art. 38 par. 2 del GDPR, di fornire tutte le risorse necessarie sia di natura economica sia di natura strutturale affinché il DPO possa svolgere correttamente i propri compiti.
L’inadempimento di tale previsione rischia di vanificare la funzione del Responsabile per la protezione dei dati personali, soprattutto durante le fasi iniziali di questo processo. È palese che la maggior parte dei problemi riscontrati dai DPO sia di natura applicativa. Un supporto indispensabile è stato fornito in questi mesi dalle diverse Autorità Garanti nazionali, le quali, di volta in volta, emanano linee guida da seguire per la risoluzione delle diverse problematiche.
