A due anni dalla piena applicabilità del Regolamento UE 2016/679 (GDPR), proseguono le discussioni su quello che è il ruolo del DPO: numerosi analisti di chiarissima fama e di provata esperienza in materia di Data Protection e GDPR compliance sono concordi nel ritenere che la figura del Data Protection Officer non dovrebbe mai coincidere con quella del soggetto (interno o consulente) che assiste il titolare del trattamento nell’adeguamento delle proprie attività di trattamento di dati personali alla normativa vigente in materia di privacy.
La questione, ad esempio, è stata recentemente portata alle estreme conseguenze in un autorevole spunto di riflessione, pubblicato sul sito di Federprivacy, nel quale si pone sul tavolo l’ipotesi per la quale, laddove l’art. 5 della l. 689/1981 dovesse essere ritenuto applicabile alla materia di cui si tratta ai sensi del richiamo operato dall’art. 166 del Codice Privacy, il DPO, soprattutto laddove assuma impropriamente la concorrente funzione di consulente per l’adeguamento, potrebbe essere ritenuto persona concorrente nell’illecito amministrativo e soggiacere alle conseguenti responsabilità e sanzioni.
Il tema della responsabilità amministrativa personale del DPO (ma, a quel punto, anche del consulente?) è di sicuro interesse, ma nella presente analisi si preferirà affrontare il punto ad esso propedeutico, già presentato in apertura.
Indice degli argomenti
Il ruolo del DPO: il profilo pratico della questione
Sintetizziamo, in primo luogo, il profilo del DPO desumibile dalle caratteristiche e attribuzioni che il Reg. (UE) 2016/679, negli artt. 38 e 39, attribuisce allo stesso.
Quest’ultimo, infatti, deve essere caratterizzato da indipendenza e libertà di esercitare il proprio compito di garanzia per gli interessati, per poter essere lecitamente nominato. Anche il compito di sorvegliare sul rispetto delle norme sembra implicare una qualche forma di indipendenza dal titolare, onde potersi espletare in modo sostanziale ed efficace.
Tuttavia, è arduo trovare analisi che riconducano questo tipo di interpretazione a specifiche disposizioni del Regolamento, ai considerando o anche solo alle Linee Guida adottate dall’ex WP29 in merito alla figura e al ruolo del DPO, o anche a schemi di certificazione approvati. Allo stesso modo, non paiono essere ad oggi mai richiamate pronunce delle Autorità Garanti o di altri organismi giudicanti, che possano dirimere in un senso o nell’altro la questione.
Nell’attesa di richiami a fonti che definiscano la questione in modo incontrovertibile, dunque, il dibattito resta aperto a contributi di orientamento differente.
In tale ottica, si ritiene costruttivo portare nel dibattito il profilo pratico della questione. Infatti, è difficile non pensare che il dibattito sul punto debba la sua vivacità all’evidente agglomerato di interessi che si intrecciano attorno alla questione.
Realtà (società, studi professionali o singoli professionisti) fortemente consolidate e abituate ad operare con titolari dotati di budget e complessità organizzativa medio alta sono infatti portate a osservare la questione da una prospettiva notevolmente diversa da realtà analoghe per servizi erogati, ma operanti in strati più ombrosi dell’ecosistema imprenditoriale nazionale (ed europeo).
Succede che, in altri termini, i primi si trovino in maggiore empatia spontanea per la soluzione restrittiva, mentre i secondi per quella opposta. Chi, infatti, opera con organizzazioni complesse e danarose, non ha particolari difficoltà a spiegare ai propri clienti che, per il solo processo privacy – che, ricordiamolo, è tale e non un mero passaggio burocratico statico e formale – debbano rivolgersi (pagando) a più soggetti. Gli altri, diversamente, incontrano difficoltà quasi insormontabili nel sostenere la stessa tesi di fronte a realtà imprenditoriali più di trincea, emergenti o, comunque, meno complesse e avvezze a confrontarsi con le dinamiche di una compliance strutturata (anche a livello di organigramma interno).
Dove non esiste per definizione una funzione compliance, né tanto meno un OdV, figurarsi un internal audit, diventa molto più complesso trasferire il principio per il quale si dovrebbero investire risorse (in termini di liquidità o di tempo e risorse umane) doppie, per un fatto di semplice ottemperanza ad una norma.
Per contro, le società di consulenza, gli studi legali e i professionisti meno consolidati, hanno certamente interesse a poter accumulare su di sé incarichi plurimi, massimizzando le opportunità di fatturato offerte dalla norma, è vero. Così come è vero che, chi osserva il campo da una posizione di forza, ha tutto l’interesse a sopportare un frazionamento delle possibili entrate del tutto sopportabile, onde conseguire il vantaggio di falciare le gambe a chi potrebbe ambire a porsi come concorrente arrivando dalle retrovie.
Che il campo sia popolato da una infinita schiera di soggetti improvvisati e spregiudicati, che hanno assaltato il mercato aperto dall’introduzione del GDPR nell’ordinamento europeo un po’ a mo’ di saccheggio post terremoto, è assolutamente vero.
Che questi soggetti spesso manchino delle competenze e dell’esperienza, oltre che del know how, per rendere a clienti anche modesti il servizio che la norma richiede, è altrettanto vero.
Tuttavia, non sono tollerabili la boria e l’istinto predatorio con cui, nel Belpaese, vengono spesso affrontati certi argomenti da chi, per merito o per fortuna, si trova in posizioni privilegiate (mi si consenta qui in riferimento più ampio).
Il ruolo del DPO: come dirimere la questione
Il punto è dirimere in modo pulito una questione, quella del ruolo del DPO, che semplice non è. Per farlo, in assoluto coordinamento con analisi interpretative di natura tecnico-giuridica e valoriali, improntate a dare alla norma un’interpretazione conforme con gli interessi che mira presidiare, sembra impossibile bypassare in toto l’approccio pratico di cui si è detto.
In tal senso sarebbe utile chiedersi, in primo luogo, come possa un DPO garantire la sua estraneità (alla quale è fatta risalire in modo vincolante la sua imparzialità) al merito delle policy aziendali in fatto di data protection, nel lungo periodo.
Se, infatti, appare abbastanza semplice garantire la separazione tra funzione di consulenza per l’adeguamento e funzione di garanzia del DPO in fase genetica del Modello privacy, più confuso è lo scenario che si dovrebbe sviluppare negli anni successivi, quando il modello dovrà essere costantemente testato, aggiornato e applicato.
Può un modello privacy essere ritenuto scevro dell’impronta “de-imparzializzante” del DPO laddove, dopo essere stato generato da un soggetto terzo, sia stato dal DPO stesso vagliato e supervisionato per anni? Certo, gli interventi da adottare su impulso del titolare potranno essere effettuati sempre da un soggetto terzo, ma se il DPO sussurra all’orecchio del titolare 12 mesi su 12 e lo assiste in ispezioni, data breach e questioni emergenti, per quanto si limiti a esprimere solo pareri e orientamenti, è seriamente possibile pensare che il modello non risulti, in qualche modo, “suo”? Se sì, come fare operativamente? La domanda non è retorica, ma sostanziale. Come fare? Ben vengano le risposte.
Secondariamente, fuori dai denti, ci si deve chiedere cosa significhi l’imparzialità di un simile ruolo nel mondo business.
Qui, la riflessione risente delle opinioni dell’autore ma pare oggettivamente arduo sostenere che un soggetto che faccia parte dell’organico del titolare o che si avvantaggi di un contratto di servizi con questo, possa realmente risultare indipendente, qualunque siano le funzioni che gli vengono sottratte.
La deontologia e i limiti normativi e di buon senso non devono essere sottovalutati, ma possono davvero essere minimizzati al punto da far risaltare, come questione rilevante, il conflitto di interessi (e i conseguenti rischi per gli interessati) generantesi da un soggetto che operi, per un titolare, come DPO e Consulente allo stesso tempo?
Può un soggetto nominato DPO dal titolare essere realmente indifferente ai desiderata del primo circa l’interpretazione delle norme laddove venga (adeguatamente, si spera) pagato per i suoi servizi o, ancor di più, laddove faccia parte della compagine organizzativa?
Chi scrive, nelle vesti di persona fisica interessata, non si sente particolarmente tutelato: ne siano prova le condotte sanzionabili e sanzionate di cui si macchiano organizzazioni di prima grandezza che di certo hanno prontamente nominato il DPO, che possono ben permettersi (e certamente su consiglio del DPO hanno così agito) di demandare il lavoro di manovalanza (che tale non è, essendo necessaria un’ottima conoscenza delle norme e dei settori tecnici coinvolti, a partire da quello della cybersecurity) a un soggetto terzo, liberando il DPO dall’incombenza e consentendogli di operare solo come “manager”.
Deontologia, limiti normativi e buon senso sono ottimi fattori volti a delimitare il grado di confusione tra interessi, ma a meno che non si sgancino le sorti di controllore e controllato (come accade quando a controllare è un’autorità terza e indipendente dal punto di vista degli approvvigionamenti, pubblica o meno) l’indipendenza resta un’utopia che, a parere di chi scrive, fa impallidire le questioni relative a chi ha disegnato il modello di compliance.
Conclusioni
Come già accennato, occorre chiedersi se un’interpretazione in senso restrittivo delle disposizioni normative richiamate, non si porrebbe come un macigno sulla reale applicabilità del GDPR e della normativa connessa in tutti gli strati dell’ecosistema imprenditoriale, eccezion fatta per le organizzazioni dotate di budget e complessità organizzativa di primissimo piano.
L’obbligo di nomina del DPO ai sensi dell’art. 37, infatti, è ben applicabile anche a realtà piccole o micro, laddove queste ad esempio operino in ambito sanitario o in quello delle nuove tecnologie, ma non solo.
Spiegare a simili soggetti il notevole incremento di impegno (economico e di tempo) che sarebbe necessario per seguire l’interpretazione più restrittiva, è pressoché impossibile. Non hanno margine e non lo fanno.
Ciò perché, pur potendo contare su un frazionamento dei costi conseguente a un frazionamento dei servizi, tale frazionamento mai equivarrebbe al risparmio ottenibile – pur a condizioni di serietà – conferendo i mandati ad un unico soggetto.
Sotto il profilo, poi, dei rapporti (contrattuali, personali, amministrativi) il raddoppio dei soggetti non conserva nessun equilibrio, aumentando gli oneri per il nominante. Risulta poi complesso far comprendere, a soggetti lecitamente vergini da conoscenze in ambito GDPR e, più in generale, legali, per quali ragioni dovrebbero affidare due incarichi ai loro occhi del tutto sovrapponibili a due soggetti diversi.
Peraltro, il rischio concreto è che titolari di questa specie, percependo di essere comunque esposti, optino per annullare del tutto l’impegno “privacy”, massimizzando il risparmio a fronte del rischio comunque corso, con massimo danno per gli interessati e per l’intero sistema (considerata la valenza anche strategica della data protection, nella società contemporanea).
Il rischio, ancora, è che chi viva offrendo i suoi servizi a questi soggetti, per restare competitivo, cada nelle prassi dei prezzi da bancarella o dei modelli fac-simile, anche queste aspramente condannate – in modo sacrosanto e incontestabile – dalla privacy legal community.
Il problema non è inesistente, è vero che il ruolo di garanzia e supervisione affidato al DPO dal GDPR offre spunti di serio approfondimento circa le modalità con cui debbano essere espletate le funzioni dello stesso, onde garantire con massima efficacia la tutela dei singoli interessati e dell’intero sistema.
L’interpretazione delle norme (così come interventi normativi o giurisprudenziali) che, a prescindere da ogni considerazione, potrebbe chiaramente dirimere la questione, lascia aperta la questione pratica esposta nel paragrafo precedente.
Non rimane altro da fare che osservare lo sviluppo del dibattito sul ruolo del DPO, sperando in ulteriori contributi costruttivi (quale quello richiamato in apertura) e animati da reale intento risolutivo e conoscenza del contesto, lavorando nel frattempo con massima attenzione per salvaguardare la professionalità, il buon nome della categoria e i diritti degli interessati.
