Ad un anno dalla definitiva efficacia del GDPR, oltre a registrare ancora uno scarso livello di attenzione e come in moltissimi ancora non si siano adeguati, devono registrarsi anche criticità sulla figura del DPO, ad iniziare dalla sua obbligatorietà, che incontra resistenze, fino ai compiti e ai rapporti con gli organi aziendali. Si tratta di problematiche da affrontare, specialmente adesso che è scaduto il periodo di tolleranza nell’applicazione di sanzioni in misura ridotta e, pertanto, il Garante può adesso imporre le sanzioni previste dal GDPR senza sconti.

Il Garante sta continuando la sua opera e sono stati emessi i Regolamenti 1 e 2 del 2019 che concernono, rispettivamente il primo le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante e il secondo l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante stesso.

Anche l’Europa si muove e, lo scorso 20 Maggio, la presidenza rumena di turno del Consiglio, ha pubblicato una relazione che ci informa sullo stato di avanzamento della proposta di regolamento e-privacy (relativo alla vita privata e alle comunicazioni elettroniche) che andrà a sostituire l’attuale direttiva del 2002 in vigore.

Tornando alla figura del DPO, i dati parlano di circa 500.000 organizzazioni che se ne sono dotate, di cui 48.000 in Italia. Una buona media si potrebbe pensare, ma ancora insufficiente guardando i numeri complessivi e con criticità per alcuni settori come, ad esempio, quello sanitario per il quale il Garante ha ammesso la possibilità di un unico DPO per tutte le strutture sanitarie di una regione. Provvedimento che lascia qualche perplessità per il carico di mansioni, gli obblighi e le responsabilità di un unico soggetto che si trova a dover controllare il trattamento di una quantità immane di dati e di un numero di strutture.

Prescindendo dal caso specifico, deve rilevarsi che la figura del DPO non è appieno compresa né utilizzata secondo il dettato del GDPR. Ed infatti non solo si sente parlare di DPO interni alle strutture, ma anche di richieste di intervento nelle procedure, di revisione della documentazione e anche di casi in cui vengono richiesti di interventi, nonché di interagire attivamente con le strutture.

Nel ribadire che il DPO deve poter operare in totale autonomia e indipendenza, si rileva purtroppo che il suo ruolo viene spesso ancora confuso, specialmente nelle realtà medio piccole, con quello del Responsabile del Trattamento, figura che, a differenza del DPO, Responsabile della Protezione, può essere anche una figura interna e, nei fatti, essere l’alter ego del Titolare (che peraltro mai perde detta qualifica) per quanto riguarda la materiale attività di protezione dei dati.

Probabilmente la formulazione del GDPR non aiuta in tal senso, poiché l’indicazione generica degli articoli 37 e 38, che parlano di un requisito di professionalità che comprenda l’elevata conoscenza delle tematiche privacy e, ove la complessità del settore lo richieda, anche adeguate conoscenze specialistiche con riferimento al settore in cui si trova ad operare (oltre alla mancata previsione, al momento, di un albo) lascia indurre molti a pensare che anche chi non dispone di adeguate capacità possa ricoprire il ruolo. Da qui la richiesta che in molte aziende o studi professionali viene rivolta al personale di segreteria. Niente di più inopportuno e pericoloso per chi voglia adeguarsi e mettere in essere adeguati standard di protezione dati e sicurezza per la propria azienda.

E’ del resto evidente come un dipendente si trovi in palese conflitto di interesse con il proprio datore di lavoro in situazioni nelle quali dovrebbe essere il controllore e non il controllato, facendo venir meno il requisito della subordinazione che caratterizza il rapporto di lavoro.