“C’è posta per te, da parte del tuo DPO”. Nelle precedenti puntate di questa serie abbiamo passato in rassegna alcuni dei compiti ai quali il Data Protection Officer è chiamato ad adempiere: il Controllo (Audit) e la Formazione. In verità, come ci siamo detti, il Titolare tenterà di utilizzare le risorse del suo DPO (interno o esterno) essenzialmente per informazione e consulenza. Se da un lato è doveroso per il DPO resistere al tentativo di ridurre il suo ruolo esclusivamente a questo, resta pur vero che l’Art. 39.1 a) del GDPR assegna al DPO il compito di “informare e fornire consulenza al titolare […] in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni […] relative alla protezione dei dati”.
Come abbiamo già visto, certamente il DPO non deve sostituirsi al Titolare nel definire le modalità di trattamento dei dati personali, le misure di sicurezza, così come non deve essere chiamato a gestire in prima persona l’esercizio dei diritti degli interessati o un data breach. Escluso quindi che possa svolgere direttamente attività gestionali, certamente il DPO dovrà fornire al Titolare informazioni sull’evoluzione della normativa, le best practice emergenti sul mercato, le modalità più adatte per mantenere elevato il livello di compliance normativa (auspicabilmente già raggiunto). Questa incombenza si caratterizzerà in due forme, distinte ma complementari, che potremmo chiamare “push” e “pull”.
DPO e informazione: trasferire ai Titolari un flusso costante di aggiornamenti
Fare informazione significa essenzialmente che il DPO deve monitorare l’evoluzione della normativa (primaria e secondaria, europea e nazionale) e aggiornare i Titolari, non in termini dottrinali ma in termini operativi: “ok, è uscito un provvedimento del garante, ma io esattamente cosa devo fare?”. Quando è stato emanato il Decreto 101/2018 ad agosto eravamo tutti in vacanza, ma i nostri legal si sono messi allo studio; così alla riapertura delle aziende abbiamo potuto invitare i clienti del servizio DPO a un convegno di presentazione che spiegava la novità ma soprattutto il “che fare?”. Dato il numero di adesioni, abbiamo dovuto fare quattro diverse sessioni: perché è poi questo che le aziende si aspettano dal loro DPO.
E adesso che il Regolamento e-Privacy è alle porte (o almeno dovrebbe esserlo…), cosa succederà ai cookies? Come dovrò aggiornare il mio sito? Potrò continuare a gestire i consensi come prima? Quindi tenete dritte le antenne sulle novità e trovate il modo per trasferire ai Titolari un flusso costante di aggiornamenti. Certo, non si può sempre comunicare in forma di convegno: una newsletter quadrimestrale può essere un eccellente veicolo per segnalare le novità rilevanti, non solo normative ma ad esempio nel campo delle sanzioni (particolarmente significative le prime sanzioni dei Garanti Europei in base ai nuovi principi del GDPR) oppure delle sentenze, per ora ancora sulla normativa previgente (ma presto comincerà a formarsi una giurisprudenza sul GDPR).
O comunque, anche al di fuori di ambiti formali e ricorrenti, se l’EDPB (l’organismo che riunisce i Garanti europei, erede del famoso WP29) pubblica linee guida su nuove tecnologie come l’IOT, nelle quali si raccomanda caldamente una DPIA per la loro adozione, come perdere l’occasione di informare tempestivamente quel Titolare che proprio ora sta sviluppando nuovi progetti di domotica e si sta attrezzando per gestire “by design” la corretta impostazione della protezione dei dati personali trattati?
DPO: un consulente accanto al Titolare
Naturalmente questo flusso non arriverà mai a soddisfare appieno la fame di informazioni del Titolare, che si troverà ad affrontare nuove sfide o la revisione di prassi consolidate, per le quali spesso l’impatto sulla protezione dei dati personali sarà a volte palese, a volte più nascosto ma non per questo meno rilevante. Ecco scattare allora la molla della consulenza, o dell’informazione on-demand:
- sto adottando la firma grafometrica per le consegne dei miei trasportatori; a quali aspetti legali e/o tecnologici devo fare attenzione?
- la nuova App con cui gestisco i pagamenti interagisce con una serie di soggetti (utenti finali, banche, circuiti di pagamento, distributori del prodotto/servizio…); come si configurano i ruoli titolare/responsabile e cosa devo indicare in informativa? e proprio tutti i dati che raccolgo sono coerenti con la finalità oppure magari ho esagerato e sarebbe bene minimizzare?
- il nuovo fornitore rifiuta la nomina a Responsabile, o l’imposizione delle misure di sicurezza, oppure chiede un compenso aggiuntivo per adottare quelle richieste dal Titolare; come è possibile trovare una mediazione che consenta a tutti di lavorare serenamente ma garantisca livelli adeguati di tutela dei diritti degli interessati?
Come vedete sono casi abbastanza diversi dal semplice “aggiornami l’informativa” oppure “scrivimi il regolamento sull’uso degli strumenti informatici”: sì, è ovvio, vi chiederanno anche questo, ma sono attività che il Titolare dovrebbe svolgere con risorse proprie, ricorrendo casomai al DPO per una revisione finale ed un parere. Resta comunque uno spazio vastissimo per consulenze di respiro più ampio, in cui il DPO esporrà un punto di vista che garantisca i diritti degli interessati, ma anche calato a fondo nella realtà aziendale, di cui si dovrà nutrire per suggerire soluzioni praticabili.
Sorge a questo punto spontanea la domanda: ma cosa succede se, ad esempio, al termine di una DPIA la valutazione del DPO fosse che le tutele per gli interessati non sono sufficienti a consentire l’avvio del nuovo trattamento? Fatta salva la possibilità del ricorso alla Consultazione Preventiva presso il Garante, il Titolare può sempre decidere di dare inizio a un trattamento innovativo e indispensabile per il business, seppur lesivo della privacy delle persone fisiche coinvolte. Oppure quando si verifica un incidente informatico, alcuni dati personali sono coinvolti, il DPO ritiene che si verifichino rischi per le persone fisiche, mentre il titolare esclude questa possibilità e non intende notificare l’incidente al Garante, non ritenendolo tale da configurare una violazione di dati personali ai sensi del GDPR.
In questi casi il DPO documenterà le argomentazioni che hanno condotto al suo parere contrario; il Titolare dovrà giustificare le ragioni che lo spingono ad assumere una scelta differente.
In conclusione, Push o Pull, una quota rilevante dell’effort di un servizio DPO (interno o esternalizzato) sarà certamente assorbita da informazione e consulenza, ed è forse su questo fronte che si potrà distinguere la competenza delle risorse coinvolte e la qualità del servizio. Non va tuttavia dimenticato, come abbiamo ricordato in precedenza, che il ruolo del DPO non può ridursi a questo: in nessun caso il team del DPO dovrà consumare tutte le giornate disponibili rispondendo alle richieste del Titolare, abdicando alle altre funzioni assegnategli dal GDPR, in primis quella di Controllo.