Data Protection Officer, tutte le tragicomiche aberrazioni del 2018
Dallo scorso maggio il GDPR ha introdotto la figura del DPO per dare più tutele agli interessati, ma a distanza di sette mesi il quadro è decisamente confuso
Il 2018 è stato l'anno del GDPR, ed è stato anche l'anno che ha visto l'esordio ufficiale del Data Protection Officer nel nostro ordinamento e in quelli degli altri Paesi membri dell'UE che ancora non lo prevedevano.
Tirando le somme di questo periodo iniziale, se l'introduzione di questa figura ha rappresentato senza dubbio una nota positiva per garantire maggiori tutele agli interessati, d'altra parte l'improvvisazione di molti consulenti e la loro la brama di approfittare di nuove opportunità di business hanno spesso trovato terreno fertile a causa di una diffusa impreparazione di pmi, microimprese, e pubblica amministrazione, che spesso concepiscono ancora la privacy come una burocrazia inutile e una scocciatura.
Così, nei mesi scorsi dei moderni azzeccagarbugli hanno indossato il cappello dell'esperto, e il DPO "Made in Italy" è stato presto servito in tutte le salse possibili con migliaia di imprese che pure hanno abboccato a polpette indigeste e bevuto pozioni miracolose che promettevano loro di vaccinarsi dalle pesanti sanzioni previste per i contravventori dei precetti del GDPR.
E specialmente in prossimità della preannunciata apocalisse che secondo alchimisti e stregoni della privacy si sarebbe abbattuta sull'Italia il 25 maggio 2018, al Garante sono piovute in un arco di tempo ristrettissimo una marea di oltre 40.000 notifiche di designazione di Data Protection Officer.
Numero in sé del tutto plausibile rispetto all'entità di nomine che è sempre stata stimata dagli esperti, peccato però che migliaia d'esse siano state inviate all'Autorità da parte di aziende ed enti che non ricadevano affatto nell'obbligo, e tutto avrebbero dovuto fatto per adeguarsi al GDPR meno che dotarsi di un DPO.
E se rianalizziamo tali cifre alla luce delle nomine "farlocche", i conti non tornano allora per difetto, e viene pure da domandarsi se tutti i titolari del trattamento realmente tenuti abbiano effettivamente provveduto a designare il Data Protection Officer.
Tra le storture che abbiamo purtroppo osservato nel 2018 si sono messi in evidenza anche i collezionisti di nomine e le società di consulenza che in molti casi hanno operato sul territorio come "bidoni aspiratutto" pur di rastrellare molte decine di incarichi di DPO, dimenticando forse che ai sensi dell'art.37 del Regolamento UE la persona che assume quest'incarico deve essere "facilmente raggiungibile", nonchè poter dimostrare di essere realisticamente in grado di assolvere ai propri compiti, e a meno che tali aziende non abbiano assunto fenomeni paranormali non si comprende come in caso di necessità o di emergenza, tali sedicenti "superman" possano essere fisicamente presenti in più posti contemporaneamente, magari spostandosi da un'azienda all'altra alla velocità della luce per gestire un data breach in una e affrontare un'ispezione dei finanzieri del Nucleo Privacy nell'altra.
I DPO con la coscienza a posto, possono comunque dormire sonni tranquilli, in quanto tutti i loro eventuali peccati veniali sono gelosamente custoditi nel confessionale del Garante, che in qualsiasi momento può interrogare il cospicuo database di nominativi di cui dispone per stabilire se concedere l'assoluzione oppure no.
Negli scenari tragicomici di questi mesi, non sono mancate neanche le aziende che hanno comunicato al Garante di avere nominato se stesse o il loro legale rappresentante come Data Protection Officer, scordando che uno dei principali compiti di questa figura è proprio quello di sorvegliare che il titolare rispetti il GDPR.
Magari può darsi che abbiano adottato questa "scorciatoia" pensando che sarebbe stato tutto più semplice se avessero dovuto controllare il loro operato con modalità "fai da te", anche perchè di chi ci si può fidare di più, se non di sé stessi?
Sulla stessa scia, destano qualche perplessità migliaia di siti web italiani che come punti di contatto del DPO indicano l'indirizzo email generico dell'azienda o della pubblica amministrazione, non rassicurando al meglio l'interessato sul fatto che si stia rivolgendo ad una figura autonoma che "non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti", come prescritto dall'art.38 del Regolamento.
Sono andati poi di moda proposte commerciali e addirittura bandi pubblici in cui il servizio esternalizzato di Data Protection Officer e quello della consulenza per svolgere le attività di adeguamento al GDPR erano entrambi racchiusi in unico pacchetto onnicomprensivo, con la conseguenza anche in questo caso che le aziende non sufficientemente consapevoli del tema in questione hanno affidato agli stessi professionisti il compito di fornire prima la consulenza sulle attività da svolgere per conformarsi al Regolamento UE, e poi in parallelo quello di controllare il frutto del loro stesso operato, il tutto naturalmente in pieno conflitto d'interesse.
Come se tutto ciò non fosse abbastanza, nella frenesia generale degli aspiranti DPO di fregiarsi di titoli e bollini vari, e nonostante l'Autorità Garante abbia precisato a più riprese che non esistono titoli obbligatori o "abilitazioni" per svolgere questo ruolo, vari enti di formazione e persino istituti universitari si sono invece sbizzarriti nel proporre "corsi abilitanti" per DPO, ed è stata pure pubblicata una Norma UNI che si è presa la briga di prevedere una certificazione del Data Protection Officer, inducendo a far pensare che essa, generalmente rilasciata al termine di un corso di formazione, corrispondesse non tanto a una normale attestazione delle competenze acquisite, ma ad una vera e propria di "patente" di DPO.
Anche nei criteri di selezione della persona a cui affidare l'incarico di DPO, aziende e pubbliche amministrazioni spesso non hanno scelto profili di esperienza e background giuridico che possedevano la conoscenza specialistica della normativa in materia di protezione dei dati personali come richiesto dallo stesso GDPR, ma hanno invece preferito optare per dipendenti anche senza nessuna competenza specifica ma "più fidati" che non mettessero troppo i bastoni fra le ruote al management.
Numerosi anche i casi in cui, pensando erroneamente che la protezione dei dati riguardasse esclusivamente la loro sicurezza informatica, la scelta dell'azienda è ricaduta invece sul proprio responsabile IT, ovviamente lasciandolo con il piede in due staffe senza neanche sollevarlo dal suo preesistente ruolo, fugando così ogni residuo dubbio sulla presenza di un evidente conflitto d'interesse, se non altro per facilitare il Garante nell'irrogare una sanzione in caso di un'ispezione.
L'ultimo indecoroso aspetto su cui stendere un velo pietoso è quello delle retribuzioni e dei compensi offerti (ma spesso anche richiesti da consulenti improvvisati) per lo svolgimento del ruolo di data protection officer:
si sono osservati vari bandi o annunci rivolti a professionisti esterni con offerte, naturalmente al ribasso, di poche centinaia di euro al mese, in certi casi anche al di sotto di mille euro per un intero anno, e ovviamente al lordo delle tasse.
Tutto questo peraltro a discapito invece di quei professionisti seri e preparati che talvolta sono stati pure additati di essere "troppo cari" rispetto alle "normali" tariffe praticate sul mercato.
Non meglio è andata a quei molti malcapitati dipendenti assunti con un modestissimo inquadramento contrattuale, che tra tutti i loro colleghi sono stati quasi estratti a sorte nella lotteria del "Toto-DPO" e praticamente costretti ad accettare l'incarico, senza però ricevere in cambio neanche un centesimo di aumento sullo stipendio o uno scatto di livello, e questo benché il Garante abbia dato indicazioni che la designazione debba essere "conferita a un dirigente ovvero a un funzionario di alta professionalità".
Anche se la lista delle aberrazioni viste finora non sarebbe affatto esaurita, in conclusione possiamo dire che poteva andare meglio, ma poteva andare anche peggio.
Infatti, il debutto del Data Protection Officer è in fin dei conti del tutto recente, e facendo tesoro di errori e grossolanerie commesse nei mesi scorsi, imprese e pubbliche amministrazioni possono ancora correre ai ripari aggiustare il tiro, auspicando per loro che non decidano di prendere la questione sul serio solo dopo aver ricevuto la prima bastonata da parte dell'Autorità.
Nicola Bernardi, Presidente di Federprivacy - @Nicola_Bernardi
Commenti