(Sintesi del contributo scientifico in occasione del Privacy Day)

Il Regolamento Europeo ha istituzionalizzato la figura del DPO nell’ambito delle figure soggettive operanti in ambito privacy o tutela dei dati personali, dedicandogli la Sezione 4 del Capo IV.
Nel Regolamento laddove si parla di tale figura soggettiva viene usato il singolare; tuttavia deve ritenersi che il termine singolare usato dal Regolamento indichi genericamente la figura soggettiva che può assumere la veste individuale o collegiale/in team.
La scelta del DPO è demandata alla libera individuazione da parte del Titolare che può attingere a risorse interne dell’Organizzazione o rivolgersi al Mercato, individuando, in base al principio di accountability la forma di DPO più confacente alla esigenze di tutela dei dati personali trattati dall’Organizzazione.
Orbene poiché il Regolamento all’art. 39 stabilisce i compiti cui è deputato il DPO appare evidente che la forma di DPO, individuale o in team, inerisce solo la struttura organizzativa dell’organo e non incide sui compiti che rimangono identici per l’una o l’altra forma.

Alla genericità nel Regolamento circa le qualità del DPO, può supplirsi facendo riferimento a quelle norme tecniche denominate UNI/ISO/CEN adottate da Organismi di normazione tecnica riconosciuti in genere a livello internazionale; il profilo professionale di DPO è stato normato dalla UNI 11697:2017 che ha individuato le abilità, competenze e conoscenze del DPO.
In un team di DPO tutti i componenti del team devono avere le qualità professionali richieste per ricoprire il ruolo di DPO individuale.

Il fattore complessità che determina la scelta operata dall’Organizzazione sulla forma di DPO non deve necessariamente riguardare la catena organizzativa-produttiva del Titolare ma la tipologia, la vastità e la delicatezza dei dati trattati.
Si posono distinguere due tipologie di DPO in team: verticale o orizzontale a seconda del tipo di Organizzazione designante.
Elemento in comune delle due tipologie è la individuazione del Coordinatore il team il quale non necessariamente deve essere sovraordinato ai singoli componenti ma si atteggia più come un primus inter pares con funzioni di guida e coordinamento delle attività svolte dai singoli componenti.
Altresì, la composizione del team, prescindendo dalle qualità richieste ai sensi dell’art. 37 del Regolamento, dovrebbe avvalersi di diverse professionalità specifiche: avvocati, ingegneri, consulenti del lavoro.
Una Organizzazione con ramificazione territoriale estesa suggerirebbe un DPO in team verticale, laddove una Organizzazione territorialmente localizzata consiglierebbe un DPO in team orizzontale.
Le due tipologie di DPO in team si strutturerebbero in maniera differente.
Nell’ipotesi di DPO in team verticale ogni componente verrebbe assegnato nell’ambito di un’area territoriale e svolgerebbe i suoi compiti senza limitazioni di campi specifici ed opererebbe in sintonia con gli altri componenti assegnati agli altri ambiti territoriali secondo le linee guida operative scelte in sede di riunioni del team.
Nell’ipotesi di DPO in team orizzontale appare opportuno che vengano individuate aree di competenza sulla base di linee condivise e che ognuno operi nell’area di competenza assegnata.

Fase genetica: la costituzione del team e la designazione.

Compito del Titolare è scegliere il team; quanto alla costituzione si possono individuare due modalità di costituzione del team.
Nella prima è il Titolare che, attraverso la designazione di un gruppo di DPO, forma il team, attingendo a risorse completamente interne, completamente esterne o miste. In tal caso è sempre il Titolare che individua nel team il coordinatore.
Nella seconda il Titolare si affida ad una organizzazione esterna già costituita e la designa. In tal caso il team si presenta già perfettamente organizzato con un coordinatore al suo interno.
La scelta del coordinatore il team è fondamentale.
Il coordinatore, eticamente orientato, deve essere in grado di motivare empaticamente, agire in trasparenza, focalizzare le problematiche in tempi rapidi e risolverle, organizzare e distribuire i compiti in modo imparziale esaltando le caratteristiche peculiare di ciascun componente il team, risolvere i conflitti e smussare le asperità dei caratteri dei componenti il team attraverso il dialogo e la dialettica.

Fase operativa.

Il team deve operare in perfetta sinergia ed ogni componente deve offrire il suo contributo portando il suo erlebniz all’interno del team affinchè il DPO in team possa agire come se fosse un DPO individuale.
Alle riunioni con il Titolare appare opportuno che partecipi l’intero team perché ogni suo componente possa individuare i fattori di criticità.
Sotto il profilo operativo in senso stretto sono fondamentali le riunioni preliminari e periodiche del team dove tutte le problematiche, senza che alcune siano poste in epochè, sono dapprima esposte, dipoi analizzate, discusse e risolte anche attraverso l’elaborazione di protocolli o linee guida cui ogni componente deve adeguarsi nell’esercizio dei suoi compiti.
Nella realtà il Regolamento ha affidato al principio di accountability la scelta del Titolare e conseguentemente non ha fornito elementi di riferimento in ordine alla scelta e designazione del DPO sia nell’ambito privato che in quello pubblico.
La differenza tra una scelta formalmente adeguata ed una oculata sarà il terreno di confronto quando ci si dovrà misurare con le sanzioni derivanti da potenziali data breach.