Può sembrare una domanda capziosa, ma il quesito è fondamentale per comprendere compiutamente la figura del Responsabile della Protezione dei Dati (DPO), introdotta dal GDPR. Premesso che la norma europea, e al momento anche quella nazionale, non indicano qualifiche o titoli che esaustivamente possano identificare la figura, l’art. 37 dice soltanto che il DPO viene designato in funzione delle qualità professionali, e non dei suoi titoli o specializzazioni documentabili, della conoscenza della normativa e delle prassi in materia di protezione dei dati, oltre che per le sue capacità di svolgere il proprio compito. Probabilmente mai norma è stata così ampia, generica, interpretabile al punto di poter nominare DPO anche per un colosso del web “mio cugino perché sa usare il PC”.  L’esempio è ovviamente provocatorio. 

Per rispondere al quesito, possiamo comunque fare riferimento all’art. 38 del GDPR che, al primo comma, prevede tra i compiti del Titolare e del Responsabile del trattamento, quello di assicurarsi che il DPO sia coinvolto, ergo portato a conoscenza, delle questioni relative alla protezione dati, oltre a fornirgli “le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti per mantenere la propria conoscenza specialistica.” 

Dalla lettura della norma sembra emergere che il DPO, che deve essere messo in condizione di accedere ai dati e ai trattamenti, possa soltanto prenderne atto e visione, senza però poter interferire sui trattamenti o operare sui dati. Del resto non rientra tra i compiti del DPO entrare nella gestione operativa del trattamento dati; l’art. 39 che li elenca, specifica che si tratta di attività di consulenza, informazione, controllo. Niente a che vedere con attività di trattamento.

Analizzando bene la norma, le posizioni ricoperte dal DPO e le sue mansioni, è del resto evidente come questi possa (ma non debba) essere messo nella possibilità di accedere ai dati conservati e trattati dal Titolare. E tutto ciò è del tutto logico, non avendo il DPO alcuna necessità di venire a conoscenza o entrare in contatto con detti dati, salvo che non venga richiesto il suo intervento o un parere sulla gestione di singole criticità. Ma anche il questo caso Titolare e Responsabile ben potrebbero evitare di fornire un nominativo o altri dati al DPO; basta fare riferimento al caso.

Il DPO deve poter accedere ai dati conservati?
È comunque possibile e, in tal caso, la sua delega dovrà prevedere questa ipotesi e contenere le opportune autorizzazioni. E deve considerarsi che laddove venissero assegnati al DPO compiti da svolgere materialmente sui dati si verrebbe a porre in essere una situazione di conflitto di interessi.

Argomento poi fondamentale per chiarire le modalità di svolgimento delle funzioni e i suoi poteri, è che il DPO non debba essere in alcun modo in conflitto di interessi con il Titolare. E ciò è di palese evidenza, laddove si consideri che, nell’esecuzione del proprio incarico, il DPO ha addirittura il potere di contestare le scelte aziendali e segnalare all’autorità garante evidenti violazioni o lacune. Emerge quindi una evidente discrasia interna al GDPR stesso laddove prevede che il DPO possa essere una figura interna all’organizzazione aziendale. Un dipendente è e rimane comunque un subordinato e ciò limita gravemente l’esercizio delle funzioni di DPO. 

Da queste brevi osservazioni emerge come per il DPO non possano esistere regole o assiomi intangibili e come, anche in merito alle figure del GDPR, possa trovare applicazione il concetto di privacy by design demandata alla valutazione di ciascun Titolare. Unica certezza che si può trarre in merito al DPO è che la sua figura si pone in posizione apicale all’interno di un organigramma aziendale, potendo interloquire solo con i vertici del management e con le autorità di controllo esterne.