domenica 16 settembre 2018

Sentenza del TAR e competenze dei DPO

Una recente sentenza del TAR del Friuli Venezia Giulia ripropone la questione sulle competenze del DPO. Parto con il link diretto alla sentenza (grazie a Glauco Rampogna):
- https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=.

La discussione su LinkedIn è qui:
- https://www.linkedin.com/pulse/il-dpo-%C3%A8-un-professionista-del-diritto-i-diplomi-iso-balducci-romano/.

Come sempre ci sono giuristi che al termine "misure adeguate" pensano a qualche bel "protocollo", come finora hanno fatto per la 231 e per la privacy. Ci sono anche giuristi che non hanno ancora capito la differenza tra "designazione" e "autorizzazione" e "contratto". Ci sono anche giuristi che hanno inviato un "contratto di nomina a responsabile" al fornitore. E giuristi che NON rispondono agli interessati in modo chiaro, o fanno scrivere informative incomprensibili (alla faccia di quanto chiesto dal GDPR). Ci sono non-giuristi messi ugualmente male.

Detto questo, c'è chi ne sa più di me (EDPS) e ha scritto questo (grazie a Pierfrancesco Maistrello per averlo segnalato):
- https://edps.europa.eu/sites/edp/files/publication/10-10-14_dpo_standards_en.pdf.

Su LinkedIn ho letto i commenti di Riccardo Marchetti e Luca Lezzerini e concordo con loro. Riassumo: perché il DPO deve essere un giurista affiancato da tecnici e non viceversa?

Mia personale conclusione: i criteri imposti dal TAR (ossia dedurre che il DPO debba essere una persona con competenze prevalentemente giuridiche) sono buoni tanto quanto quelli originali. Solo che non è elegante che dei legali (con potere) dicono che un certo lavoro debba essere fatto da legali.

Il testo della sentenza mi ha ricordato alcune discussioni per cui c'è chi vede un conflitto di interessi tra DPO (che deve tutelare gli interessati) e il responsabile della sicurezza (che deve tutelare l'organizzazione). Non le condivido, anche perché la stessa discussione si basa sulla richiesta indipendenza del DPO. Come è noto, però, il DPO è pagato dal titolare e quindi la sua indipendenza è sempre incompleta (qui sto parlando di sostanza, nella teoria siamo tutti bravi a dire il contrario; vedo e vivo gli stessi problemi da anni con gli auditor "indipendenti").

Altri hanno commentato ricordando che il Titolare è responsabile delle proprie azioni e quindi non è compito del TAR discuterle. Condivido anche questa.

Sempre Glauco Rampogna ricorda alcuni punti: "si tenta di legittimare la separazione tra la conoscenza dell'applicazione delle misure di sicurezza e la tutela dei diritti dell'interessato, che invece il GDPR tende ad includere nel ruolo del DPO, a tutto vantaggio della parte giuridica. Il fatto poi di essere in ambito pubblico potrebbe spingere altri soggetti pubblici ad avallare questa tesi in altri ambiti, per un effetto a cascata".

Nessun commento:

Posta un commento