DPO: attenzione alla selezione
La caccia alla nuova figura deve essere organizzata bene, altrimenti si rischia di commettere errori gravi quanto la mancata nomina
Il GDPR è in vigore da quasi un anno, ma le prime bozze risalgono al 2012. Le linee guida sul DPO, invece, sono state pubblicate sul finire del 2016, mentre in questo periodo è in discussione una bozza di norma UNI. In ogni caso, è già parecchio tempo che si sente parlare della figura del Responsabile della protezione dei dati, un ruolo chiave nel futuro di molte organizzazioni e, certamente, una delle più rilevanti novità introdotte dal Regolamento UE 2016/679.
Il suo profilo, a prescindere da tutto, è già abbastanza chiaro leggendo il testo normativo: deve essere competente in materia e deve essere indipendente.
Proprio sull’aspetto dell’indipendenza, si sono focalizzate le linee guida, che escludono esplicitamente che il DPO, che pure può svolgere altre attività e ricoprire altre mansioni, possa essere coinvolto in qualsivoglia conflitto d’interessi. Questo perché, citando il le linee guida del 13 dicembre 2016, “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD [Responsabile della Protezione dei Dati, ndr] può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile”.
Le linee guida offrono anche un approfondimento con una nota in calce, affermando che “a grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.
A questo punto, e tenendo conto degli aspetti legati alle conoscenze e alle capacità richieste al DPO, è possibile che le aziende che non hanno una persona interna a cui assegnare il ruolo, o che non abbiano un consulente esterno per lo stesso scopo, si affidino a chi seleziona personale per conto terzi in maniera professionale.
Tralasciando il fatto che questi soggetti dovrebbero aver fatto la dovuta notificazione al Garante per la natura della loro attività, e che quindi l’assunzione di un candidato selezionato illecitamente potrebbe – almeno in linea teorica – comportare alcuni problemi per l’azienda che vuole il DPO, sarebbe opportuno che almeno chi seleziona, sappia chi, cosa e come cercare.
E qui si entra in un aspetto legato più alla qualità dei servizi offerti, che alla privacy in senso stretto: se si deve selezionare un qualcuno (in questo caso il DPO), sarebbe opportuno sapere esattamente quali requisiti deve rispettare o, almeno, avere l’intelligenza di affidarsi a qualcuno che li conosca ed eventualmente corregga le indicazioni errate. L’art. 38 e il considerando 97 del GDPR parlano chiaro.
L’immagine è tratta da un annuncio di lavoro trovato online. Non cito la fonte per decenza, ma non è la prima volta che mi trovo a criticarla per aspetti simili.