Dopo diversi anni dall’applicazione del GDPR si può ora affrontare il tema dell’avvicendamento fra due successivi DPO, avendo ormai ben chiarito quale è il ruolo di tale figura a differenza di quanto è avvenuto al momento dell’introduzione del regolamento stesso.

L’avvicendamento fra due DPO non deve essere, quindi, visto come un evento eccezionale ma come il naturale evolvere di differenti risorse nel medesimo ruolo, ormai stabilizzato all’interno dell’ecosistema aziendale.

Le cause di un avvicendamento

Un DPO può terminare il suo incarico:

1. a seguito di una scelta volontaria dovuta a ragioni meramente personali che nulla hanno a che fare con l’organizzazione;
2. a seguito di un evento improvviso non prevedibile a priori;
3. a causa della conclusione del rapporto di lavoro (per i DPO interni);
4. perché non condivide le politiche sulla protezione dei dati personali messe in atto dall’organizzazione, ovvero in quanto è venuto meno il rapporto di fiducia verso l’organizzazione. Tale situazione, decisamente critica, inevitabilmente si rifletterà nella documentazione che lo stesso lascerà al termine del suo incarico;
5. perché è terminato l’incarico aziendale (di norma triennale) e l’azienda, per vari motivi, ha deciso di ricorrere ad un altro DPO. In particolare, un DPO esterno ad una P.A., che non si aggiudichi nuovamente la fornitura del servizio sul MEPA (la piattaforma di procurement pubblico), viene naturalmente sostituito dal competitor che ha fatto una migliore offerta.

Tali ragioni valgono sia per un DPO interno che esterno al perimetro aziendale.

Documentazione da lasciare all’atto della cessazione dell’incarico

La documentazione che è opportuno venga lasciata da un DPO al termine del suo incarico è ovviamente la medesima che un DPO all’inizio dell’incarico dovrebbe legittimamente aspettarsi di trovare.

La documentazione dovrebbe comprendere:

1. una relazione riassuntiva delle attività svolte e di quelle ancora pendenti al momento del passaggio di consegne ad integrazione delle relazioni annuali;
2. le relazioni annuali per il periodo in cui il DPO è stato in carica;
3. i verbali degli incontri periodici;
4. i rapporti di audit;
5. la documentazione eventualmente “ereditata” dal precedente DPO.

La relazione conclusiva predisposta dal DPO dovrebbe essere trasmessa/consegnata al DPO entrante e dovrebbe, inoltre, essere condivisa con il titolare del trattamento ed eventualmente con l’organo di governo dell’organizzazione, unitamente all’elenco della documentazione trasmessa.

Sarebbe opportuno valutare anche una condivisione con l’organismo di vigilanza e con il collegio sindacale. La finalità è quella di evidenziare l’importanza della compliance integrata quale cardine per garantire il presidio degli aspetti normativi e di efficientamento dei processi aziendali.

Fra i passaggi di consegna, ovviamente, sono comprese anche:

1. le credenziali di accesso alla casella di posta elettronica in capo al DPO;
2. le credenziali di accesso all’area sui sistemi informativi aziendali protetta a cui può accedere soltanto il DPO;
3. altre eventuali credenziali di accesso in possesso del DPO.

Per tali passaggi è necessario il coinvolgimento dell’amministratore di sistema che attiva/disattiva tali credenziali unitamente ai relativi permessi.

Più delicato resta il tema del passaggio di documenti quali la documentazione relativa agli eventuali data breach/incidenti sulla sicurezza delle informazioni ed alle comunicazioni con gli interessati che il DPO ha preso in carico nel corso del suo mandato.

Nessun problema comporta la documentazione relativa al registro dei trattamenti, alle DPIA, alle analisi dei rischi, alle LIA, alla registrazione di attività di formazione e quant’altro possa essere considerato un’attività di routine. Questi, infatti, sono tutti documenti a carico del titolare del trattamento che non sono sotto l’egida ed il controllo diretto della funzione del DPO.

Il rilascio di tutta la documentazione dovrebbe essere accompagnato da un documento riassuntivo (verbale di consegna).

Un passaggio di consegne vis-à-vis, per quanto non facile da organizzare soprattutto in alcune circostanze, sarebbe fortemente consigliato in quanto è il modo migliore per portare a termine il compito dell’uno e avviare quello dell’altro in modo efficiente.

Ovviamente, non si tratta soltanto di affrontare il tema della documentazione in quanto tale, ma anche di garantire, nell’ambito dell’avvicendamento, anche la “consegna” degli archivi informatici e cartacei. Di questi il DPO in uscita deve garantire la completezza, l’integrità e la disponibilità, ovvero che siano protetti da adeguate misure per la sicurezza delle informazioni.

Il ruolo cruciale del referente privacy

Un ruolo cruciale, nel corso del passaggio di consegne, lo può esercitare il Referente Privacy che può:

1. favorire i passaggi descritti ed assumere il ruolo di trait d’union tra i due soggetti;
2. fungere da memoria storica in relazione alle tematiche della protezione dei dati.

Tale ruolo è ancora più rilevante nel caso in cui il DPO uscente abbia concluso il proprio incarico in modo improvviso, eventualmente anche a seguito di eventi traumatici.

In tale circostanza, per quanto remota, non è immaginabile che sia stato pianificato alcun passaggio di consegne e tanto meno di documentazione. Le conseguenze di tale circostanza possono essere in parte attenuate all’interno di una organizzazione che sia inappuntabile in relazione alla documentazione del DPO sia per quanto concerne la completezza che la reperibilità.

Avvicendamento tra DPO: un modello win-win

Un DPO che lascia l’incarico ha certamente accumulato conoscenze approfondite sulle politiche e sulle procedure legate alla protezione dei dati nello specifico ambito aziendale.

Queste conoscenze sono preziose e devono essere trasferite al nuovo DPO in modo accurato e completo attraverso la documentazione indicata al paragrafo precedente.

Allo stesso tempo, il nuovo DPO deve essere adeguatamente informato per contestualizzare le sue competenze all’interno dell’organizzazione e garantire la continuità delle attività aziendali. I citati documenti e prassi sono funzionali a questo scopo.

Il modello proposto per la gestione dei documenti al termine dell’incarico si presenta come una soluzione win-win che porta vantaggi reciproci.

Infatti, il DPO uscente ha interesse a garantire una transizione senza intoppi, fornendo al nuovo DPO tutte le informazioni necessarie per continuare a sorvegliare il sistema di gestione della protezione dei dati in modo efficace.

Il nuovo DPO, dal canto suo, ha necessità di essere proattivo nell’apprendere le dinamiche aziendali e nell’acquisire rapidamente una conoscenza approfondita delle politiche del titolare sul cui rispetto è chiamato ad esercitare l’attività di sorveglianza.

Quali documenti il DPO uscente può portare via

Un altro aspetto cruciale della gestione documentale da parte del DPO uscente riguarda l’individuazione dei documenti che può portare via a propria tutela, cioè per dimostrare la regolarità dell’attività svolta. In questo caso, come già analizzato in un precedente articolo va distinto il contesto pubblico da quello privato.

Sarebbe comunque auspicabile che il contratto di designazione del DPO indichi quale documentazione può essere portata via all’atto della cessazione dell’incarico.

Conclusioni

Con questo articolo si è voluto evidenziare che con il passaggio del testimone tra due DPO all’interno di un’organizzazione si realizza un momento critico.

Uno degli aspetti cruciali di questa transizione riguarda certamente la gestione dei documenti che sono stati prodotti dal DPO uscente.

Abbiamo visto quali documenti il DPO uscente dovrebbe lasciare al subentrante.

Adottare un approccio win-win durante questa transizione è essenziale per garantire il mantenimento della conformità, la continuità operativa e il successo complessivo dell’organizzazione. Collaborazione, comunicazione e trasferimento efficace delle conoscenze e della documentazione sono fondamentali per garantire una transizione senza intoppi e vantaggiosa per entrambe le parti coinvolte.