L’Autorità Garante del Lussemburgo ha recentemente sanzionato un’azienda, ritenendola responsabile per non aver scelto un DPO adeguato. Si parla di una multa di ben 18.000 euro, cifra che ovviamente fa drizzare le antenne.
Ruolo e funzione del DPO
Il DPO (Data Protection Officer) è una figura prevista nel GDPR e in alcuni casi la sua nomina è obbligatoria. Lo è, ad esempio, nel caso di trattamenti di dati personali effettuati da soggetti pubblici, oppure laddove venga effettuato un monitoraggio sistematico degli interessati. Non da ultimo, è obbligatorio individuare un DPO se si svolge un trattamento su larga scala di dati sensibili. In tutti gli altri casi, la nomina è facoltativa.
Come noto, un’azienda che intenda nominare un DPO non deve necessariamente ricorrere ad un professionista esterno, ma può sceglierlo anche tra i propri dipendenti. Questa soluzione, ovviamente, viene vista come un risparmio in termini di costi e di “scartoffie”. Il risultato è che in molte realtà aziendali, anche importanti, sono stati incaricati come DPO delle persone che semplicemente erano a disposizione nell’organico, anche se non soddisfavano i requisiti richiesti.
L’importanza della competenza
Requisiti che sono, anzitutto, di essere in possesso delle competenze e delle conoscenze in materia. Al DPO è inoltre richiesto di essere in grado di assolvere i compiti, ovvero fornire assistenza al titolare del trattamento e ai dipendenti in merito al rispetto del GDPR. Il DPO collabora inoltre con il titolare per la redazione della valutazione d’impatto e rappresenta il punto di contatto tra l’azienda e il Garante Privacy. Da questo, si dovrebbe capire che questo ruolo va assegnato ad una persona che abbia un background di studi e di esperienze tali da assicurargli la dovuta professionalità.
Al contrario, scegliere come DPO il “meno peggio” che si ha a disposizione tra i dipendenti, ovvero incaricare una persona che, per quanto disponibile, non ha la formazione necessaria, significa non rispettare la normativa. Ed è esattamente quello che è capitato all’azienda finita sotto la mannaia del Garante lussemburghese. Nel caso specifico, tenendo conto del tipo di trattamento che l’azienda svolgeva, il Garante ha ritenuto che avrebbe dovuto essere nominato qualcuno con almeno tre anni di esperienza in materia di privacy. Chissà se questa vicenda servirà a far rivedere le scelte operate dalle aziende in questi primi anni di applicazione del GDPR.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale