Il tempo impiegato per fornire riscontro alle richieste d’aiuto pervenutemi dai miei clienti (pubblici) raggiunti, non più di un mese fa, dall’ennesima iniziativa di MonitoraPA, mi ha spinto a fare una riflessione: il ruolo del DPO, ho imparato a capire, è costellato di imprevisti che di solito accadono nel fine settimana, di notte o alla vigilia delle feste comandate e, come potrete immaginare, non soltanto io ma anche la mia famiglia ha imparato a conviverci.
Nel caso specifico, poi, l’imprevisto non è stato neanche troppo impegnativo: per rispondere, infatti, ho soltanto dovuto rispolverare (e personalizzare un po’) una precedente comunicazione datata 10 giugno 2022 (si parlava in quel caso di Google Analytics) in cui già avevo suggerito di (far) controllare in via preventiva la presenza di elementi critici, plug-in o add-on installati nei siti internet o righe di codice riconducibili ad ulteriori servizi di fornitori extraeuropei “birbaccioni” al fine di valutarne la proporzionalità e la necessità e di giustificarne soltanto in caso di riscontro positivo la permanenza sulle proprie pagine web.
Inutile dire che la sola circostanza di aver ricevuto un’altra PEC da parte del collettivo di attivisti costituisce prova indiscutibile che il mio “autorevole” suggerimento è stato disatteso e conseguentemente che il mio lavoro di prevenzione non ha avuto l’efficacia che mi ero prefisso. E ciò mi ha gettato nel malumore quindi penso, mugugno, rifletto.
Indice degli argomenti
Qual è il ruolo del DPO? Rilevanza e competenza
Il legislatore ha immaginato il responsabile della protezione dei dati come figura di riferimento importante di un’organizzazione assegnandogli un ruolo che, pur non avendo potere in merito alle scelte dell’organizzazione, assume rilevanza:
- interna, come si può leggere nell’art 37 co.1 del GDPR: “il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”;
- esterna, come da art 37 co.4: “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento”;
- nei confronti dell’Autorità, come da art 39 co.1 lett. d), e): “cooperare con l’autorità di controllo, e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento […]”.
Delineando così in maniera effettiva ed efficace un presidio stabile non soltanto per gli interessati e per i diritti che il Regolamento loro accorda ma anche per quelle figure chiamate per disposizione legislativa a rivolgerglisi in maniera preventiva per tutte le questioni relative alla protezione dei dati personali.
Quando, poi, il legislatore ne ha delineato le competenze (art. 37 co.5: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”), ha inteso definire uno standard di altissimo profilo con il quale chi di noi svolge questo ruolo è costretto (o almeno dovrebbe) a confrontarsi costantemente.
Ebbene, quando si parla di accountability del titolare, questa rilevanza e questa competenza non possono essere disattese perché sono alla base di molte scelte operate dal titolare ma raramente chi di competenza si trova a darne conto.
Quando ci troviamo ad avere a che fare con organizzazioni incapaci di comprendere tali prerogative finiamo nel ricadere completamente in una narrativa dominante che vede il DPO come:
- ambasciatore di software-house che per vendere i propri servizi fanno leva sulle rilevanti sanzioni previste dal Regolamento – i web-fornitori (scusate il neologismo) di “servizi DPO”;
- inutile orpello da pagare il meno possibile e tenere il più lontano possibile salvo ricordarsi di averne uno in relazione a una grana urgente da risolvere quale potrebbe essere una richiesta d’informazioni dell’autorità e/o l’ennesima minaccia di segnalazione da parte degli ormai celeberrimi “Fabio” e “Giacomo” – anche loro un po’ titolari, qualche volta, a turno (cit. MonitoraPA).
Il responsabile per la protezione dei dati dovrebbe invece essere considerato:
- un’opportunità per un’organizzazione che ambisce a crescere e diventare grande;
- un privilegio per i soggetti obbligati a nominarlo;
perché in entrambi i casi a una designazione formale corrisponde (grazie alla vision del legislatore europeo), un ruolo che è a volte uno scudo, altre un alfiere, altre ancora un analista, un consigliere sincero e nei casi migliori un acceleratore di crescita e sviluppo.
Se tutte le organizzazioni realizzassero quanto tale figura possa rappresentare una risposta concreta alle domande della data protection e dell’innovazione, lo cercherebbero con attenzione valutando nel merito le capacità dello stesso di trovarsi a proprio agio con materie così diverse e fondamentali per la sopravvivenza di un’impresa quali diritto, sicurezza informatica e organizzazione dei processi (sia singolarmente che in un team).
Il jukebox di pareri
Se tutte le organizzazioni comprendessero che il DPO non è un “jukebox” di pareri ma qualcuno da poter coinvolgere nei momenti di crisi (gestione data breach) e/o nei passaggi decisionali della vita di un’impresa (by design e by default) con una marea di soft skills di accompagnamento (ad es. capacità di negoziazione e comunicazione) e magari con anni di esperienza, forse lo pagherebbero a peso d’oro (considerate che lo scrivente è vicino ai 90kg).
Eppure, il mercato ha tradotto queste informazioni di alto spessore in servizi superficiali e standard, in abbonamenti annuali pagabili in 12 comode e piccole rate (quasi che la consulenza di alto profilo fosse equiparabile ad un software gestionale), in servizi gratuiti o a bassissimo costo da inserire in fase di up-selling o cross-selling per legare indissolubilmente un cliente e mi chiedo quanto tale fenomeno sia riconducibile alla baldanza degli operatori economici o si sia dovuto trasformare per andare incontro alle effettive esigenze di enti, imprese.
Non mi è chiaro, infatti, se il mercato dei DPO si sia orientato in questo modo per gli “animal spirits” (Keynes mi perdonerà) di chi per rispettare le esigenze di compliance ha pensato “tanto poi cosa importa della tutela dei diritti basta che si spenda il meno possibile” o per quelli dei fornitori di servizi “se prendo 100 clienti a 1.000 euro guadagno 100.000 euro l’anno senza far praticamente nulla” (è inutile spiegare come servizi a basso costo generano anche scarse aspettative da parte dei clienti) o ancora a causa di chi ha fatto passare che la tutela effettiva dei diritti passasse soltanto (e non ma anche) dallo scraping di pagine web della pubblica amministrazione mediante osservatori automatizzati.
E anche tutti gli altri si sono dovuti adeguare (al ribasso) per non finire divorati dal mercato alimentando, di fatto, le aberrazioni.
Il tutto nel silenzio imbarazzante di istituzioni (spesso complici del fenomeno se vogliamo guardare le designazioni interne in difetto di requisiti, le gare al massimo ribasso e le richieste nei capitolati di gara di compiti incompatibili con il ruolo) e delle associazioni di rappresentanza (che sembrano chiudere più di un occhio verso tali fenomeni) e con buona pace di chi, come il compianto Giovanni Buttarelli, ha lavorato alacremente per lasciarci un’eredità importante.
