L’art. 38 GDPR indica lo specifico obbligo in capo all’organizzazione di dover fornire sostegno e risorse necessarie per il DPO, ma in che modo è possibile declinarlo operativamente e, soprattutto, verificare che sia stato assolto in modo corretto? Questo è importante soprattutto alla luce dell’azione coordinata promossa dall’EDPB a riguardo.
“Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.” (art. 38.2 GDPR)
Bisogna infatti comprendere che la questione non può esaurirsi solamente facendo riferimento budget dedicato bensì investe il più ampio ambito del coinvolgimento ed integrazione operativa della funzione affinché ne siano preservate adeguatezza e continuità d’azione nello svolgimento dei compiti. Compiti che ovviamente trovano la propria ragion d’essere nel denominatore tanto della compliance GDPR che della garanzia di una migliore protezione dei diritti degli interessati.
Guardando alla lettera della norma, infatti, devono essere assicurate le risorse necessarie per:
(i) adempiere ai compiti indicati dall’art. 39 GDPR;
(ii) accedere a dati personali e trattamenti;
(iii) mantenere la conoscenza specialistica.
Risorse che comportano un’azione di supporto costante da parte dell’organizzazione, soprattutto per riscontrare bisogni emergenti che lo stesso DPO può segnalare. In questo caso l’eventuale richiesta di risorse aggiuntive deve essere tenuta in dovuta considerazione, dovendo documentare le motivazioni che hanno condotto all’eventuale adozione di decisioni divergenti in tal senso. In ogni caso, però, è necessario che siano adeguate.
L’adeguatezza delle risorse per il DPO
La stima dell’adeguatezza delle risorse per il DPO deve prendere in considerazione innanzitutto i criteri indicati (adempimento dei compiti, accesso a dati e trattamenti, conoscenza specialistica), dunque le relative misure tecniche e organizzative predisposte dall’organizzazione.
Nell’ipotesi di incarichi assegnati in outsourcing, il contratto stipulato potrà facilmente riscontrare non solo il perimetro delle attività assegnate al DPO ma anche la presenza delle garanzie in ordine alla fornitura delle risorse adeguate. Il tutto ricordando che il GDPR prevede e per l’effetto può sanzionare direttamente il designante qualora non abbia provveduto in tal senso direttamente o mediante il contratto di fornitura.
Alcune delle risorse esemplificativamente riportate dall’EDPB nelle WP243 – Linee guida sui Responsabili della Protezione dei Dati, possono consistere in:
– supporto attivo da parte dell’Alta Direzione;
– adozione di un piano di lavoro;
– dotazioni finanziarie, infrastrutturali e di personale;
– comunicazione interna del ruolo e del contatto del DPO;
– formazione permanente;
– costituzione di un ufficio/gruppo di lavoro.
Risorse che, a ben vedere, altro non sono che misure tecniche e organizzative cui il titolare deve provvedere per garantire proprio il rispetto dell’art. 38.2 GDPR.
Controlli di adeguatezza
A seconda del livello di complessità dell’organizzazione e delle attività di trattamento, nonché della presenza di un DPO interno o esterno, sarà necessario attenzionare e controllare aspetti ulteriori. L’importante è che venga seguito il parametro di adeguatezza rispetto al contesto, alle attività di trattamento e siano tenuti in debita considerazione i rischi così come viene espressamente richiesto dagli artt. 24 e 39 GDPR.
Dal momento che lo stesso GDPR prevede che tutte le misure adottate per garantire la conformità debbano essere soggette a riesame e aggiornamento, è responsabilità del designante svolgere ogni controllo al fine di verificare che l’allocazione delle risorse necessarie per il DPO sia sufficiente.
Innanzitutto, occorre individuare quali risorse sono state fornite in supporto alla funzione. Fatto ciò, occorre valutarne l’adeguatezza in riferimento ai criteri individuati dalla norma per cui è possibile acquisire un parere a riguardo proprio dallo stesso DPO all’interno relazione periodica di attività. In ogni caso, è bene ricordare, l’organizzazione deve sempre garantire al DPO la possibilità di fornire un feedback circa le risorse a propria disposizione direttamente ai vertici dell’organizzazione indicando, se del caso, di provvedere all’integrazione delle stesse per consentire un’operatività efficace della propria funzione.
