Rischiano di essere sanzionate le imprese che nominano un Dpo senza le giuste competenze e non lo mettono in condizione di lavorare
Campanello di allarme per imprese e P.a.: devono scegliere un bravo Dpo (responsabile della protezione dei dati) e devono metterlo in condizione di lavorare. Altrimenti rischiano di pagare salate sanzioni amministrative per violazione della privacy. Come è successo a una serie di imprese ed enti lussemburghesi, puniti dal garante nazionale della privacy (Cnpd) con una lenzuolata di deliberazioni. Le sanzioni irrogate sono comprese nella fascia da 10 mila a 20 mila euro e seguono alla violazione degli articoli 37, 38 e 39 del regolamento Ue sulla protezione dei dati n. 2016/679, noto come Gdpr.
Nel dettaglio la deliberazione n. 40 del 27 ottobre 2021 ha applicato una sanzione di 15.400 euro; la n. 41 in pari data ha ordinato il pagamento di 18.700 euro; di poco inferiore (18 mila euro) è l'importo della sanzione ordinata con la deliberazione n. 38 del 15 ottobre 2021; scende a 13.200 euro la sanzione pecuniaria portata dalla deliberazione n. 36 del 13 ottobre 2021. L'azione dell'autorità lussemburghese si colloca in una attività di vigilanza sistematica per la verifica della posizione del responsabile della protezione dei dati, ma è facilmente prevedibile che le violazioni contestate e sanzionate potrebbero essere facilmente accertate in giro per tutti i paesi europei assoggettati all'obbligo di osservare il Gdpr. Un Gdpr che, però, è tutto fuorché chiaro a proposito del Dpo.
Perché è così facile commettere violazioni a proposito di questa figura e perché, quindi, imprese e p.a. sono quotidianamente a rischio? Il Dpo è una figura ibrida, è scelto dall'impresa e dalla p.a., ma deve svolgere la sua attività non solo nell'interesse di chi lo paga, ma anche a favore di terzi (clienti, utenti, cittadini) e anche della legittimità generale (è l'interlocutore prioritario nella corrispondenza con il Garante). Il Dpo, da un alto, deve informare e consigliare l'impresa/ente, ma, dall'altro lato, deve sorvegliare. vigilare e controllare se l'impresa/ente rispetta le regole. Una combinazione di attività che rischia di fare a pugni, soprattutto se poi il Dpo, come è possibile, è un dipendente dell'impresa/ente.
(Nella foto: l'Avv. Antonio Ciccia Messina, autore del Manuale di autodifesa per Data Protection Officer edito da Federprivacy)
Si avrà, in quest'ultimo caso, un lavoratore subordinato che, però, deve essere così autonomo e libero di sorvegliare il suo datore di lavoro. Nonostante questo profilo a rischio di indeterminatezza e di contraddizione, il Gdpr impone che il Dpo non sia in conflitto di interessi e che, nell'organigramma aziendale, sia collocato a diretto contatto con il vertice, senza nessun superiore gerarchico.
Inoltre, il Dpo deve sempre essere coinvolto ogni volta che ci sia qualcosa che impatti con la privacy (cioè praticamente sempre) e deve essere messo in grado di lavorare (per esempio con uno staff di supporto, oltre che strumenti e strutture). Senza contare che il Dpo pare assomigliare un tuttologo: esperto di leggi sulla privacy e di informatica oltre che di tutte le materie che sono l'ambito di svolgimento del core business o dell'attività istituzionale dell'ente pubblico. Quello che aumenta la pericolosità del quadro è che tutte le prescrizioni sopra sintetizzate sono previste a pena di sanzioni amministrative. Come è successo sistematicamente in Lussemburgo con le deliberazioni in commento, nelle quali il Garante nazionale ha imposto anche alcune misure correttive.
A proposito del necessario coinvolgimento, l'impresa/ente deve invitare il Dpo a partecipare regolarmente alle riunioni, soprattutto se all'ordine del giorno è una violazione della privacy. Al Dpo si deve inviare con un congruo anticipo una convocazione con gli argomenti che si andranno a discutere. Il Dpo deve riferire direttamente al gradino più alto dell'impresa/ente e bisogna programmare un flusso costante di relazioni. Il Dpo, si legge sempre nei documenti del Garante lussemburghese, deve stendere i verbali sui controlli interni effettuati, meglio se inseriti in una pianificazione generale. La funzione del Dpo, dunque, anche nella prassi non è più da considerare una funzione di rappresentanza. Deve esser considerato invece un ruolo con funzione operativa, che nella molteplicità delle sue funzioni deve essere presente e operativo, giorno per giorno. Considerato, poi, che la privacy riguarda sostanzialmente ogni aspetto delle attività istituzionali e aziendali, è inevitabile che ci sia l'esigenza di sentire costantemente il Dpo. E, anzi, c'è bisogno che lo stesso Dpo si faccia avanti e programmi un piano di azione per tutta la durata del suo incarico. Questo anche se il Dpo è interno e cioè se è un dipendente, dal momento che deve svolgere il suo compito in autonomia. Anzi, deve essere maggiore l'attenzione a evitare condizionamenti sul suo operato.
L'impresa/ente, dunque, farà bene a ricordare che se si sceglie un Dpo impreparato, negligente, inerte, assente o incompetente non solo fa danni rispetto al corretto svolgimento dell'attività aziendale/istituzionale, ma va anche incontro alle sanzioni del Garante.
di Antonio Ciccia Messina (Italia Oggi del 14 dicembre 2021)
