Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Quando si parla della funzione del DPO è possibile escludere la possibilità di fare gioco di squadra, celebrando una sorte di one-person-band. Quando invece ci si trova a dover esercitare in modo sensato la funzione, allora è necessario ragionare su come fare gioco di squadra. Al di là dell’ovvia ricerca di sinergie con le ulteriori funzioni esterne o interne dell’organizzazione, è fondamentale infatti che venga garantita la capacità di svolgere i compiti attribuiti dall’art. 39 GDPR e, soprattutto, garantire la continuità della sorveglianza. Questo può comportare o lo stanziamento di risorse adeguato per coinvolgere altri professionisti o garantire alcuni collaboratori, o altrimenti la formazione di un team DPO.
Mentre il primo caso rientra nell’ambito dell’adeguatezza dello stanziamento di risorse che l’organizzazione deve fornire a supporto del DPO ai sensi dell’art. 38 par. 2 GDPR, nel secondo caso è invece chi si propone come DPO a dover fornire le evidenze necessarie a dimostrare la capacità di assolvere i propri compiti, come previsto dall’art. 37 par. 5 GDPR. Ovviamente, in entrambi i casi la responsabilità di adempiere agli obblighi previsti dal GDPR è e resta in capo all’organizzazione che deve comunque essere in grado di garantire l’effettività della funzione a partire dalla selezione e per tutto lo svolgimento dell’incarico.
Mentre la dotazione di risorse in termini di collaboratori a supporto del DPO è rimesso alla capacità dell’organizzazione di rispettare il GDPR e alla libertà di cui al principio di accountability, la formazione e conduzione del team DPO incontra necessariamente le regole proprie della funzione che vanno riferite più ad un “Office” che ad un singolo “Officer”.
La formazione del team DPO è presa in considerazione all’interno delle linee guida WP243 sui responsabili della protezione dei dati, indicando delle buone pratiche sia per favorire un’organizzazione trasparente e corretta sia per prevenire conflitti d’interesse. Ad esempio, è necessario non solo che ciascun componente del team possieda i requisiti per ricoprire l’incarico, ma che goda anche delle tutele previste dal GDPR fra cui principalmente quella dell’indipendenza funzionale prevista dall’art. 38 par. 3 GDPR.
Sul piano organizzativo, la ripartizione interna dei compiti è funzionale non solo per garantire l’efficienza del servizio ma anche per individuare un unico soggetto che faccia da referente per i vertici dell’organizzazione. Motivo per cui diventa opportuno dettagliare questo ambito all’interno del contratto di servizi (se esterno) o altrimenti nella descrizione del funzionamento dell’ufficio (se interno).
Ultimo ma non meno importante è l’aspetto invece del gioco di squadra fra DPO di diverse organizzazioni, il più delle volte nel rapporto titolare-responsabile (ma anche: fra contitolari, o titolari differenti). Poiché ciascun DPO svolge i propri compiti secondo un approccio risk-based nei confronti degli interessati, e gli interessati sono il comune denominatore dei trattamenti svolti fra questi soggetti differenti, è quanto mai opportuno – e invero, il più delle volte dimenticato – che si cooperi professionalmente in quanto si perseguono obiettivi se non proprio comuni quanto meno non divergenti: la garanzia della protezione dei dati personali degli interessati.
Questo comporta che nelle qualità personali espresse dallo svolgimento dei compiti sia riscontrabile anche quello spirito di leale collaborazione che invoca integrità e standard deontologici nel contribuire a dare efficace attuazione ai principi del GDPR e ai diritti degli interessati.
