Mettetevelo bene in testa se non volete sorprese: il data protection officer non è un uomo o una donna ma un team. Le competenze sono troppe e non potranno mai essere riunite in un solo soggetto, per quanto preparato e certificato.
Per accettare un simile incarico da solo e adempiere agli innumerevoli compiti di consulenza e verifica che la disciplina gli attribuisce – che spaziano dal settore informativo a quello giuridico, passando per le certificazioni, l’analisi dei flussi di dati aziendali, la valutazione dei rischi e dell’impatto del trattamento sui diritti degli interessati, le misure di sicurezza fisiche, logiche ed organizzative, le verifiche periodiche dell’affidabilità del sistema (inteso nel suo complesso, non solo dal punto di vista informatico), i rapporti con le altre norme che si intrecciano con la tutela dei dati e delle informazioni, i codici etici e di condotta, gli organismi di vigilanza, la formazione del personale – il data protection officer dovrebbe essere onnisciente o molto superficiale e quindi inconsapevole delle reali responsabilità connesse al suo ruolo.
Il problema, peraltro, non riguarda necessariamente realtà medio–grandi, come si potrebbe essere portati a pensare, poiché il Regolamento Europeo 679/2016 non ne fa un problema quantitativo ma pone l’attenzione sul trattamento di dati su larga scala o che presentano rischi specifici. Ben potrebbe, pertanto, una grande azienda, strutturata su diverse unità locali e sedi all’estero, non avere particolari problemi di trattamento, perché collegata a poche aziende clienti e fornitrici, senza trattare dati personali su larga scala o che presentano rischi specifici, e risultare invece molto più critica la gestione di una piccola realtà con pochi addetti che però elabora grandi quantità di dati per finalità di marketing e profilazione.
Il data protection officer, pertanto, deve conoscere anche le logiche aziendali, inserirsi nelle logiche di lavoro quotidiane, comprendere le criticità che flussi di dati apparentemente privi di rischi potrebbero invece avere per le concrete modalità di trattamento. E questo dovrebbe fare ogni giorno, in tutte le sedi, coordinandosi con i responsabili dei singoli trattamenti, il responsabile IT, il direttore commerciale e gli altri dirigenti e funzionari più o meno coinvolti nel trattamento. Senza contare le Autorità di controllo e tutti gli altri soggetti (come gli outsourcer e i consulenti esterni) direttamente o indirettamente facenti parte del complesso sistema che, in ogni azienda, tratta dati personali.
Difficile credere che tutte queste capacità possano essere concentrate in un solo individuo che dovrebbe poi sorvegliare l’osservanza del regolamento, fornire pareri e consigli sugli obblighi connessi, sovrintendere la formazione e far da agente di collegamento con l’Autorità Garante. E se pensate che un team di professionisti sia troppo oneroso, riflettete su quanto potrebbe costarvi un approccio superficiale. Basta dare un’occhiata all’art. 83 del Regolamento.
