DPO: quali dati di contatto pubblicare e perché un modulo non è sufficiente
Nel ventaglio delle casistiche e l’aneddotica che orbita attorno alla figura del DPO abbondano gli esempi relativi alle modalità di adempimento dell’obbligo di pubblicazione dei dati di contatto. E in questi ambiti si passa da chi pubblica persino il numero di telefono cellulare personale del DPO a chi, ponendosi agli antipodi, predispone una serie di moduli da compilare come unica modalità mediante la quale l’interessato può relazionarsi con la funzione. Entrambi sono eccessi di segno opposto, indiziari di incertezza applicativa. Che nel secondo caso è una pratica che espone al rischio di violazione dell’art. 37.7 GDPR.
Occorre infatti avere contezza tanto della lettera quanto degli scopi della norma. L’art. 37.7 GDPR prevede due distinti adempimenti in capo a chi provvede alla designazione del DPO: la pubblicazione dei dati di contatto e la comunicazione degli stessi all’autorità di controllo. Mentre il secondo adempimento è funzionale rispetto allo svolgimento dei compiti di cooperazione di cui all’art. 39.1 lett. d) GDPR, il primo deve essere letto nell’ottica di garantire agli interessati la possibilità di porsi in contatto diretto con il DPO “per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti” come previsto dall’art. 38.4 GDPR.
Tali elementi trovano un rafforzamento nella previsione di cui all’art. 37.2 GDPR per cui in caso di designazione di un unico DPO parte di un gruppo imprenditoriale è richiesta la condizione che questi sia “facilmente raggiungibile da ciascuno stabilimento” in quanto punto di contatto non solo per i soggetti interni all’organizzazione ma anche per l’autorità di controllo e gli interessati.
Tanto premesso, la pubblicazione dei dati di contatto deve essere letta nell’ottica di garantire il migliore accesso alla funzione del DPO da parte degli interessati. E di conseguenza ci si deve domandare a questo punto quali dati debbano essere pubblicati affinché sia realizzata quell’adeguatezza delle misure predisposte per svolgere tale adempimento.
All’interno delle FAQ sul Responsabile della Protezione dei Dati nel sito web del Garante si trova un chiarimento a riguardo: “Non è necessario pubblicare il nominativo del RPD, purché i relativi dati di contatto consentano che lo stesso sia direttamente e agevolmente raggiungibile (ad es. per il tramite di un indirizzo e-mail a ciò dedicato).” Ciò significa dunque che non esiste alcuna prescrizione specifica circa l’indicazione del nominativo ma nulla lo esclude. Anzi, secondo le linee guida WP243 sui Responsabili della Protezione dei Dati è indicata come buona prassi. La valutazione delle informazioni da pubblicare relative ai dati di contatto del DPO è rimessa al titolare o al responsabile del trattamento, secondo il parametro di efficacia della necessità o utilità “nelle specifiche circostanze” per consentire all’interessato di raggiungere facilmente la funzione.
Nell’ottica di comprendere meglio i criteri di necessità o utilità sono le stesse linee guida a venire in soccorso con l’esemplificazione di alcune modalità di contatto: “recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica”. Dopodiché, sono anche indicati dei canali ulteriori da predisporre secondo opportunità e nell’ottica di facilitare la comunicazione con il pubblico quali: “una hotline dedicata, un modulo specifico per contattare il RPD pubblicato sul sito del titolare/responsabile del trattamento."
Fornire la possibilità di contattare il DPO attraverso dei moduli è dunque un’opzione percorribile ma deve essere una misura predisposta in aggiunta e non in sostituzione rispetto a quella di rendere disponibile all’interessato almeno una modalità di contatto diretto ed efficace.
