Accettare l’incarico di Data Protection Officer (DPO) è una scelta che dovrebbe tenere conto, oltre che degli “onori”, anche degli “oneri” connessi alla carica.
Il DPO è, a tutti gli effetti, un “whistleblower” legalizzato.E’, infatti, il punto di contatto legale con l’autorità di protezione dei dati e potrebbe trovarsi nella condizione di segnalare il mancato rispetto del Regolamento generale sul trattamento dei dati personali da parte del proprio datore di lavoro (o di consulenza).
Questo perché, secondo il Regolamento, chi decide di (oppure è costretto a) dotarsi di un DPO, si troverà nella condizione di dover interagire con un soggetto che “ha voce in capitolo” anche nelle strategie più riservate, nella misura in cui impattano sul trattamento dei dati personali.
Non è un (grosso) problema per chi opera nel settore della produzione industriale perché al massimo si tratta di gestire dati di dipendenti. Ma per le imprese attive in settori dove si trattano enormi quantità di dati di clienti le cose sono diverse.
L’articolo 39 del Regolamento dice chiaramente, infatti, che è dovere del DPO
(d) to cooperate with the supervisory authority;
Qual è il limite di questo dovere di cooperazione, e fino a che punto il DPO può astenersi dal segnalare condotte improprie all’autorità di protezione dei dati?
Facciamo un esempio.
Cosa succederebbe se, per necessità di vario tipo come lanciare un’iniziativa social in occasione del Festival di San Remo, un’azienda decidesse di rinviare alcuni adempimenti meramente formali per non perdere un’opportunità di business, e poi sistemare le cose prima che si manifestino problemi?
Senza il DPO, nulla, con il DPO, tutto.
Delle tre, l’una, infatti: o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda prosegue, non ha troppe alternative rispetto a segnalare il fatto all’autorità di protezione.
E qui si pone un altro problema. Un avvocato, come tale è tenuto al segreto professionale, non può “denunciare” i propri clienti e non può essere costretto a testimoniare su fatti appresi sul conto del suo cliente che ne possono compromettere la difesa. Come si concilia tutto questo con i doveri del DPO?
Certo, il Regolamento stabilisce che il DPO
shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law
ma la “segretezza” e la “confidenzialità” di cui parla il Regoalmento sono relative solo a quanto appreso nell’ambito della funzione stessa e non hanno lo status del segreto professionale di avvocati e giornalisti. Quindi il DPO, anche se non segnala in autonomia una violazione normativa, può essere ascoltato dall’autorità (non solo) di protezione dei dati su queste circostanze. E dunque diventare un potenziale teste a carico (dell’accusa, in altri termini).
E allora, come dicono le immortali parole di Renzo Arbore: meditate gente, meditate!
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte