DPO: serve un albo? La risposta di AssoDPO

Stefano Gazzella : 1 Agosto 2022 07:00

Autore: Stefano Gazzella

Matteo Colombo, presidente di AssoDPO, con esperienza come DPO, consulenza in ambito di compliance, risk management e data protection, si è reso disponibile per un’intervista al fine di commentare rischi e opportunità riguardanti la previsione di istituire un albo dedicato alla figura dei Responsabili della protezione dei dati.

Andiamo dritti al punto: come vede l’idea di un “albo dei DPO”?

Vedo necessariamente due temi da affrontare: se creare un albo di chi è già stato designato DPO o se altrimenti istituire un albo professionale della figura del DPO.

Nel primo caso altro non è che rendere accessibile le comunicazioni all’autorità Garante, e può essere un utile elemento di trasparenza delle designazioni consentendo così a chiunque di poter sapere chi sia il DPO di riferimento per singoli titolari o responsabili del trattamento. Sono certo che questo possa aiutare il settore ad evolversi in maniera molto differente rispetto a quanto abbiamo visto fino ad oggi. In una serie di interventi pubblici, infatti, il Garante Privacy ha più volte segnalato la presenza di “cacciatori di taglie”, ovverosia soggetti con centinaia di incarichi soprattutto in ambito pubblico. Certo, il tema andrebbe affrontato in sede di EDPB o in una futura revision del GDPR che, dal punto di vista tecnico, non escludo possa interessare già il prossimo Parlamento europeo, a beneficio della trasparenza delle designazioni.

Per quanto riguarda il secondo caso, ovverosia la costituzione di un elenco di soggetti “qualificati” può essere uno spunto per guardare alle skills richieste per la figura professionale di DPO come ad esempio ha fatto CNIL. Oggi, nei bandi, sono chieste delle attività da svolgere ma non vengono stabiliti parametri di efficacia, controllo e le selezioni sono dominate dal criterio dell’offerta economicamente più vantaggiosa. L’indicazione di una serie di skills fondamentali da parte dell’Authority non può che migliorare i processi di selezione.

A proposito di selezioni: qual è stato il compenso più basso che ha visto in una offerta di servizi di DPO?

Potrebbe sorprendere, ma ho avuto modo di vedere qualcosa che va oltre i famigerati 500 euro l’anno ovverosia dei DPO “gratis”, integrati in un pacchetto di servizi già acquistato. Molto spesso in situazioni di conflitto di interessi.

Quali sono le maggiori resistenze da superare riguardanti la figura del DPO?

La maggiore resistenza è accettare che la funzione agisca in affiancamento all’organizzazione. Il ruolo del DPO nasce per dare un valore aggiunto, ed è il soggetto che governa e supervisiona tutte le regole che l’organizzazione si è data per la compliance GDPR.

La figura può essere assimilata con il ruolo di RSPP, ma spesso viene considerata in modo astratto. Altrimenti, una carenza di effettività della funzione è la conseguenza logica.

Una delle cose più difficili da capire è che il DPO debba entrare da subito nelle scelte dell’organizzazione e dunque la necessità del suo coinvolgimento sin dall’inizio in un’ottica di privacy by design e con approfondimenti nel merito delle decisioni sin dalla fase embrionale della pianificazione.

Come superarle?

L’unico modo che vedo per scardinare questa resistenza è una integrazione della privacy all’interno dei processi dell’organizzazione, stabilendolo come parametro di valutazione dello “stato di salute” della stessa. Ad esempio, nei processi di M&A la correttezza del trattamento dei dati personali è riconducibile al rischio di contenzioso.

Dobbiamo accettare che viviamo in una realtà in cui i dati personali hanno un valore significativo e dunque occorre un controllo della regolarità dell’acquisizione degli stessi.

Esistono o sono auspicabili regole deontologiche comuni per i DPO?

Certamente. AssoDPO ha ad esempio adottato un codice etico per i propri associati e così anche altre associazioni. Ritengo che siano proprio le associazioni a dover promuovere regole e valori comuni per i propri associati e stabilire linee di condotta condivise.

Possiamo avere alcuni esempi?

La correttezza della gestione contrattuale. È necessario dichiarare sin dalla fase di contrattazione cosa il DPO potrà e dovrà fare e cosa invece non potrà fare, assicurando così che il titolare o il responsabile abbia da subito cognizione del ruolo operativo della funzione.

Alcune garanzie ulteriori, come avere un’assicurazione professionale o garantire la propria formazione continua, sono altrettanto importanti. Nel modo di comportarsi, invece, trovo particolarmente di rilievo assicurare una non discriminazione soprattutto un’integrità nello svolgimento dei propri compiti.

Cosa consiglia a chi deve o vuole provvedere alla nomina del DPO per non incorrere in gravi errori, a parte rivolgersi a chi presenta una contrattualizzazione chiara del rapporto?

Valutare la competenza specifica. In Spagna hanno addirittura costituito delle specializzazioni di settore per i DPO, e potremmo ispirarci anche a questo modello e non solo alle skill indicate da CNIL.

Ovviamente gli schemi di certificazioni così come i corsi pur non essendo abilitanti possono costituire delle evidenze valide per assolvere i criteri di selezione.

Cosa servirebbe ai DPO da parte dell’autorità di controllo?

Certamente, un Ufficio DPO presso l’Autorità Garante come accade in Francia. Avere un canale di comunicazione e possibilmente anche un funzionario dedicato può consentire di risolvere alcune problematiche in modalità autonoma e più celere rispetto al dover transitare per l’URP. Ad esempio, in caso di data breach o di valutazione d’impatto o consultazione preventiva.

Un suggerimento per i DPO in cerca di incarichi.

Studiare. Quello sempre: non si finisce mai.

Uno degli aspetti più importanti ora è approfondire il diritto comparato. In Europa pochissimi si sono specializzati in privacy comparata, eppure non è più sufficiente conoscere solamente il GDPR per svolgere il ruolo di DPO nel settore privato. Ovviamente, anche la lingua inglese è fondamentale per maturare esperienze internazionali.

Dopodiché fare rete. Coltivare contatti, formare dei team DPO per uno scambio continuo e la valorizzazione e contaminazione reciproca di esperienze che sono destinate ad essere sempre più specializzate.