Con l’art. 38 GDPR, è previsto uno specifico obbligo in capo al designante affinché il coinvolgimento del DPO vada garantito. E se coinvolgere il DPO può sembrare facile nelle parole e negli intenti, non è detto che lo possa essere altrettanto sul piano pratico.
“Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.” (art. 38.1 GDPR)
Il presupposto logico fondamentale è che il management sia consapevole di quali sono le questioni che possono riguardare la protezione dei dati personali, perché senza tale consapevolezza è impossibile avere idea di quando coinvolgere il DPO. Per questo motivo non bisogna sottovalutare l’attuazione delle politiche di sensibilizzazione e formazione, altrimenti ogni intervento successivo è destinato a fallire per mancato supporto da parte di quei vertici aziendali con cui il DPO deve avere un dialogo privilegiato.
Per misurare l’effettività del coinvolgimento è necessario valutare se sono state fornite tutte le risorse necessarie alla funzione, ma non solo. Il supporto attivo, così come ancor prima il riconoscimento diffuso del ruolo svolto dalla funzione non sono infatti elementi da cui è possibile prescindere.
Attenzione ad un dettaglio, però. Tale supporto non corrisponde ad un’adesione pedissequa a qualsiasi indicazione del DPO, bensì l’impegno ad averne considerazione e tenerne conto soprattutto nelle ipotesi in cui la decisione finale assume delle considerazioni parzialmente o totalmente divergenti. Come? Motivando l’iter decisionale. Come accountability vuole, dopotutto.
Prevenire le incomprensioni nel coinvolgimento del DPO
Il rischio di generare incomprensioni, o addirittura contrasti, non si circoscrive solamente nei casi in cui sono i vertici dell’organizzazione a non conformarsi al parere del DPO. Spesso si realizza nel mid-level (soprattutto nelle aree HR, marketing o IT), nei confronti degli operatori che partecipano ai trattamenti, nonché verso le altre funzioni di consulenza o sorveglianza presenti nell’organizzazione. E se da un lato sta alle soft skill del DPO trovare il modo corretto di porsi senza generare conflitti, anche l’organizzazione deve aver cura di presentare la funzione in modo corretto chiarendone il ruolo e le responsabilità, consentendo così di perimetrare le aree di intervento, le sinergie necessarie, nonché andando a predisporre eventuali tavoli di lavoro.
La maggior parte delle resistenze da parte degli operatori sono ad esempio superabili se il DPO conosce l’organizzazione, ivi incluse le procedure e le istruzioni operative adottate e ragiona in una visione ottica strategica di integrazione della protezione dei dati personali all’interno dei presidi di compliance e dei metodi di lavoro già adottati.
Nelle interazioni con altre figure di compliance quali possono essere il responsabile per la prevenzione della corruzione e trasparenza, l’OdV, il RSPP, il Responsabile Qualità, o il CISO, ciò che conta è la capacità di instaurare un dialogo e comprendere – oltre che, ovviamente, rispettare – le reciproche spettanze e responsabilità.
Un’autovalutazione possibile?
Fino a che punto è possibile però svolgere sia da parte dell’organizzazione sia da parte del DPO nell’esercizio dei propri compiti di sorveglianza un controllo e valutazione di adeguatezza di quanto predisposto in ordine al corretto coinvolgimento? Insomma: non si rischia forse di indulgere in un auto-controllo con tutte le conseguenze del caso?
Se è vero che nella relazione periodica il DPO deve esprimere un parere circa l’adeguatezza del proprio coinvolgimento e il rispetto dell’art. 38 GDPR, non è detto che tale elemento sia sufficientemente efficace.
Dunque, il più delle volte l’uovo di Colombo consiste nell’affidare lo svolgimento di un audit di prima parte ad un consulente esterno, così da verificare l’effettività del coinvolgimento del DPO. E magari approfondire anche altri ambiti ed estendere il controllo al rispetto degli articoli da 37 a 39 GDPR.
Insomma: il coinvolgimento del DPO deve essere un’abitudine dell’organizzazione, riscontrabile da flussi comunicativi, documentazione generata e interviste ad altre funzioni e operatori. Altrimenti, sarà solo una designazione destinata a giacere su carta o in un protocollo telematico del Garante.
