Il DPO fra attività di consulenza e compiti di sorveglianza

Fra i compiti minimi attribuiti al DPO vi sono quelli di:

  • fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Di per sé tutto regolare se non fosse per la presenza di una conditio sine qua non per la quale il Titolare, ed il Responsabile, deve assicurarsi che pur potendo, il DPO, svolgere altri compiti e funzioni, queste non diano adito a conflitti d’interesse. La disposizione lascia ben intendere, a maggior ragione, che nemmeno gli stessi compiti del DPO devono dare adito a conflitti d’interesse così come, invece, potrebbe emergere laddove il DPO auditor, in sede di sorveglianza circa l’appropriata applicazione della normativa, rilevasse che il DPO consulente non si sia attivato nei modi più appropriati.

Una siffatta circostanza porrebbe il DPO, in qualità di auditor, nella condizione di controllare se stesso, in qualità di consulente. Né è il caso di parlare di priorità fra i due compiti.

Più semplicemente, la consulenza a cui si fa qui riferimento, non è quella del Consulente privacy che affianca il Titolare nell’implementazione, a tutto tondo, di un modello di gestione dei dati personali ma si traduce, più propriamente, in un’attività di indirizzo in cui il DPO:

  • si esprime in merito alla valutazione d’impatto,
  • fornisce supporto all’applicazione di regole di protezione dei dati e di policy e procedure aziendali (quali violazioni dei dati o gestione di richieste dell’Autorità di controllo),
  • monitora le misure di sicurezza,
  • verifica gli obblighi contrattuali del Responsabile del trattamento,
  • raccoglie le informazioni per identificare le attività di trattamento,
  • analizza e verifica la conformità delle attività di trattamento
  • ecc.

I compiti minimi, identificati all’art. 39, possono pertanto essere estesi purché venga assolutamente evitato il rischio di conflitto di interessi e, quindi, porre il DPO in qualsivoglia situazione in cui possa ritrovarsi nelle condizioni di sorvegliare se stesso ovvero il proprio operato.

La stessa prassi da più parti riconosciuta, anche dalle stesse linee guida del WP 29, per la quale al DPO è demandata la tenuta del registro delle attività, pur sotto la responsabilità del Titolare, è equivoca e fuorviante proprio perché si presenterebbe la circostanza in cui le figure di controllore e controllato si sovrapporrebbero in capo al DPO.

Ad integrazione del presente articolo si rimanda a:

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor