Il DPO e l’adeguamento al RGDP: no agli affidamenti ad oggetto plurimo

Una scadenza ormai prossima quella del 25 maggio.

Molti Enti – vittime dell’“ansia” – stanno bandendo gare ad oggetto plurimo: adeguamento al RGDP e servizio di responsabile della protezione dei dati.

Orbene, bisogna fare attenzione.

Come è noto, l’adeguamento alle nuove norme non deve essere inteso come mero “adempimento”, ma come occasione di riflessione sull’organizzazione dell’ente, nonché sul livello di sicurezza del trattamento dei dati attualmente in essere, al fine di apportare i correttivi ed i miglioramenti necessari.

L’attività da svolgere presuppone quindi – in linea di massima – l’incrocio di competenze informatiche e giuridiche difficilmente riscontrabili in una sola professionalità, bensì ragionevolmente individuabili in un gruppo di lavoro costituito ad hoc.

Seppur si volesse ipotizzare tale funzione (i.e., l’adeguamento al RGDP) in capo allo stesso DPO, si incorrerebbe nell’invalicabile limite normativo.

Il RGPD consente invero l’assegnazione al DPO di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6) e che, in ogni caso, consentano al DPO di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).

Gare ad oggetto l’adeguamento al RGPD e contemporaneamente il servizio di responsabile della protezione dei dati, comporterebbero inevitabilmente in capo al soggetto così nominato, la funzione di “sorvegliante” e “sorvegliato”: egli infatti dovrebbe adeguare l’ente al RGPD e sorvegliare sullo stesso adeguamento (sic!).

Rectius, il DPO finirebbe per essere controllore di se stesso.

È chiaro che ci troveremmo di fronte ad un vero e proprio conflitto di interessi, che in quanto tale non è condivisibile.






Correlati


torna all'inizio del contenuto