Chiedere lumi al Dpo fa sempre bene al titolare del trattamento. Anche solo per abbassare l’importo della sanzione per violazione della normativa sulla protezione dei dati. Ma qual è il ruolo del Data Protection Officer? A ben vedere, in effetti, il Dpo si mette sempre in gioco e rischia, al di là di quanto gli competa, di diventare una posizione di garanzia o, altrimenti detto, un parafulmine. Sullo sfondo, il Considerando 77 del Gdpr, neppure tanto di sottecchi, ormai allunga la sua ombra: un “Considerando” che dota il Dpo di super poteri, ma che poi lo colloca su un piedistallo scivoloso; un “Considerando” che mette l’acceleratore a una priorità assoluta e cioè avere un repertorio delle “indicazioni del Dpo” per specifici settori.
(Nella foto: l’Avv. Antonio Ciccia Messina)
Viviamo nell’epoca della ricerca della irresponsabilità (propria) e ciò, spesso, si traduce semplicemente nella ricerca di “qualcun altro”, cui trasferire la responsabilità. A perderci è sempre l’ultimo della fila.
Ma concentriamoci sul Dpo e sugli eventi che lo interessano. Guardandosi in giro è facile constatare che comincia ad affiorare la punta di quell’iceberg che è il complesso dei rapporti tra titolare del trattamento e Dpo: un iceberg che nasconde, sotto il pelo vivo dell’acqua, una dialettica, destinata a diventare conflittualità, alla prima ispezione dell’autorità di controllo; quella stessa conflittualità destinata a diventare lite, alla prima ingiunzione di pagamento di una sanzione amministrativa.
Non si sta inseguendo nella mente un’ipotesi dell’immaginazione, ma si sta ragionando sulla aspettativa di comportamenti razionalmente ed economicamente ispirati a fronte di fatti accaduti.
Leggiamo, ad esempio, l’ordinanza ingiunzione del Garante della Privacy n. 118 del 2 luglio 2020 (4 mila euro la sanzione a carico delle casse di un comune).
Tralasciando il merito della questione, ci soffermiamo su alcuni passaggi della motivazione del provvedimento, in cui il Garante
1) dà atto che il titolare ha agito, in ogni caso, con diligenza e correttezza;
2) rintraccia tale buona condotta nel fatto che il titolare ha sempre chiesto il parere del Dpo;
3) riscontra la buona condotta nel fatto che il titolare si è adeguato prontamente all’(ultimo) orientamento del Dpo.
Sempre nelle motivazioni del provvedimento, a proposito degli orientamenti del Dpo, il Garante narra due cose interessanti e cioè:
a) il Dpo, in un primo momento, ha ritenuto adeguata l’azione del titolare, ovvero la diffusione dei dati dell’interessato indicato con le iniziali di nome e cognome dell’interessato (cioè quella stessa azione che, invece, è stata giudicata illecita e, perciò, sanzionata dal Garante);
b) il Dpo, in un secondo momento, ha suggerito di comportarsi in modo diametralmente opposto e cioè “ove ciò sia tecnicamente possibile” di rimuovere anche le iniziali del nome e del cognome.
Il Garante tira le fila e sostiene che il comportamento del titolare deve essere favorevolmente considerato: insomma, conviene al titolare coinvolgere il proprio responsabile della protezione dei dati personali e a conformarsi in buona fede al parere dello stesso.
Ma la storia non finisce qui. Anzi, comincia proprio da quella coda velenosa, che si può essere tentati di accantonare. Si rilegga bene. Il Garante dice che deve alleggerire il carico della sanzione, poiché il titolare si è comportato “in buona fede”. Si può parafrasare dicendo che quel titolare ha avuto fiducia nel Dpo, si è affidato al Dpo, si è premurato di chiedere al Dpo come comportarsi e quanto il Dpo gli ha riferito o suggerito non è rimasto lettera morta. Ma tutta questa buona fede riposta nel Dpo non è bastata a evitare la sanzione.
A questo punto scorrono davanti agli occhi, prevedibilissime, alcune scene, in cui il titolare passa attraverso sentimenti, alla fine, contraddittori: dapprima una certa leggerezza per il sollievo di avere scampato sanzioni ben più pesanti (solo 4 mila euro a fronte di un rischio massimo di 20 milioni!); segue l’algida consapevolezza che, comunque, è un esborso patrimoniale; si passa a una ansia interrogativa volta alla scoperta della genesi dell’errore, sostenuta eticamente da una matematica tensione retributiva (se io sono in buona fede, qualcun altro è la fonte dell’errore; e la conseguenza dell’errore deve ricadere sulla fonte e non su chi, in buona fede, ha confidato); sopraggiunge una subitanea euforia per avere rintracciato nel primo avvallo del Dpo la fonte dell’errore; la conclusione interlocutoria di questa prima catena di eventi è la elaborazione della strategia di rivalsa (naturalmente contrattuale) di chi non vuole sentirsi danneggiato e beffeggiato.
A questo primo atto ne seguiranno altri, nelle cui rispettive scene si dibatterà altrettanto prevedibilmente:
a) della figura, del ruolo e delle attribuzioni del Dpo;
b) se la condotta del titolare non sia di per sé esclusiva (nel senso che esclude la responsabilità del Dpo, perché il titolare è tenuto a non seguire le indicazioni sbagliate);
c) della sussistenza stessa di una possibilità di rivalsa del titolare sul Dpo;
d) della natura della obbligazione del Dpo (di mezzi o di risultato);
e) della disamina della natura dell’affare, ai fini della sussistenza della soglia della colpa grave nelle vicende di particolare importanza;
f) del calcolo del quantum dei danni;
g) di varie ed eventuali.
Tutti temi che meritano, ciascuno, una dissertazione ad hoc e che alimenteranno opinioni diverse.
In questa sede non si prende posizione su nessuno dei temi sopra elencati; si preferisce, invece, tracciare un ponte di collegamento tra quanto capitato (un titolare del trattamento, grazie al Dpo, risparmia sulla sanzione, ma l’illecito c’è stato e l’ingiunzione pure) e il Considerando 77 del Gdpr, che, nel bene e nel male, mette il Dpo sugli altari (è fonte di orientamenti apparentemente alla pari dei codici di condotta approvati, delle certificazioni approvate, delle linee guida fornite dal Comitato) e lo inchioda (il Dpo non è lontano, a Brussels, e sono le sue indicazioni, a riguardo di trattamenti viventi [non astratti simulacri], a guidare la mano del titolare e del responsabile).
Cosa dice il Considerando 77? Estrapolando quanto interessa risulta più o meno così: “Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante …………….. indicazioni fornite da un responsabile della protezione dei dati…”.
Come sempre accade, la separazione delle tessere aiuta a vedere meglio il mosaico:
a) le indicazioni del Dpo forniscono al titolare/responsabile orientamenti per l’adeguamento al Gdpr;
b) le indicazioni del Dpo forniscono al titolare/responsabile orientamenti per dimostrare la conformità.
Ancora in via di ulteriore sintesi: il titolare può costruire un pezzo della sua responsabilizzazione (sia quella sostanziale [adeguamento] sia quella processuale [onere della prova]) utilizzando le indicazioni del Dpo.
Nel grande disegno del Gdpr le indicazioni del Dpo sono una fonte cui il titolare può attingere per dare prova del suo adeguamento.
Ora, il Dpo, anzi i Dpo partano da qui. È necessario, ma non sufficiente, indagare la propria identità, che, a dire il vero, è tra le più ambigue e promiscue; è necessario, ma non sufficiente, cercare di argomentare le ragioni giuridiche della assenza di responsabilità del Dpo: tutto apprezzabile, ma bisogna porsi nell’ottica di essere forza positiva e propulsiva per il raggiungimento delle finalità del Gdpr.
Per raggiungere contestualmente gli obiettivi di sterilizzazione delle responsabilità e agevolazione del successo del Gdpr, i Dpo devono assemblare gli strumenti che rendano riconoscibili, condivise e apprezzate le “indicazioni del Dpo”.
Proprio perché c’è il Considerando 77 Gdpr, proprio per questo, è necessario un repertorio delle “indicazioni del Dpo” da dare nei diversi settori. Ci vuole condivisione delle migliori prassi ed elaborazione delle indicazioni-tipo dei Dpo per una determinata categoria di trattamenti o di titolari di trattamento.
Bisogna, dunque, far vivere questo Considerando 77 Gdpr nel senso di evitare che il Dpo diventi una posizione di garanzia (per inciso, non è certo questa la configurazione nel Gdpr) e ciò per un effetto domino innescato dalla responsabilità contrattuale. Bisogna, però, farlo soprattutto perché, nel quadro di una vaghezza normativa, talvolta disarmante, chi, più di altri, è vicino ai luoghi e accanto alle persone protagoniste del trattamento, costui/costei, almeno quanto altri, è in grado di elaborare adeguati, equi e saggi orientamenti a protezione delle persone fisiche.