Ho quindi presentato (come da istruzioni) domanda via PEC (ma non era necessario firmarla digitalmente, essendo sufficiente firmarla a mano e poi scannerizzare il foglio) allegando un numero sterminato di incartamenti (22 fogli firmati a mano e scannerizzati, compresa la dichiarazione/autocertificazione che le fotocopie allegate dei dépliant dei convegni/workshop da me frequentati sulla privacy, come relatore o spettatore, erano “conformi” ai dépliant “originali”).
Il giorno fatidico (qualche giorno fa) mi sono presentato davanti alla Commissione selezionatrice. Erano presenti altri candidati? Ovviamente si, ma non molti. Sicuramente più giovani di me (ad occhio, sui 30 anni). Tutti assieme nella stessa stanza (anzi, era un corridoio) aspettando di essere chiamati uno ad uno. Nell’attesa un candidato, come un bravo studente in attesa dell’esame, ripassava un libro (ma non era quello che ho scritto io sul DPO!).
Sono stato il primo ad essere esaminato, grazie all’ordine alfabetico seguito. Anzi, se prima i presenti ignoravano (ovviamente) il mio cognome, dopo la chiamata ad alta voce (“chi è Comellini? Venga!!), l’hanno conosciuto!
La Commissione? Composta da 5 persone: il responsabile del personale, il responsabile dell’informatica, un avvocato interno e due gentili signore (di cui non ricordo la qualifica).
Mi hanno fatto una vera interrogazione, alternandosi nelle domande (proprio come all’esame orale da procuratore legale, che sostenni nel 1993. Un vero tuffo nel passato!) e ponendo quesiti anche su casi concreti (potenzialmente verificabili o, forse, già verificati) riguardanti la struttura: “Lei, se fosse il DPO, che farebbe in quella situazione? Dica!”
Altre domande: “Se fosse il DPO, che farebbe nei primi 30 giorni?”, “Lei si è mai rivolto al Garante della Privacy?“.
L’esito del colloquio (e della selezione)? Lo ignoro! Anzi, do per scontato che gli altri candidati fossero più preparati di me (o, forse, più adatti per operare in quella struttura).
Qualche mia personale impressione? Forse una certa confusione tra i ruoli di titolare/responsabile del trattamento e DPO. Anzi, mi è sembrato (ma posso avere capito male) che più che un DPO (come lo descrive il Regolamento) cercassero un soggetto che dovrà occuparsi della “compliance”, cioè di adeguare la struttura al GDPR.
La cosa non mi sorprende. Sono molti (nel settore privato, a me più affine) quelli convinti che basta nominare il DPO e poi ci pensa lui a metterci in regola!
Resta il fatto che, quando ho fatto presente alla Commissione che il DPO non assume responsabilità dirette nei confronti di terzi e degli interessati al trattamento (responsabilità che permangono in capo al titolare/responsabile del trattamento) la signora che avevo davanti, con tono sarcastico, ha sbottato: “Come? Allora se non è lui il responsabile cosa lo nominiamo a fare?”.
Alla fine, credo di non essere piaciuto granchè alla Commissione esaminatrice. Peccato! Ma me ne farò una ragione!
Tra i compiti richiesti al nominando DPO anche la sua presenza assidua (quasi costante) in sede. Ho fatto timidamente notare che il DPO non è un dipendente che deve timbrare il cartellino e fare atto di presenza. Non credo di essere stato convincente!
All’inizio del colloquio la Commissione esaminatrice mi ha chiesto: “Ci dica, Lei di cosa si occupa?” (nonostante avessi inviato via PEC anche il curriculum). Dopo aver spiegato che faccio l’avvocato da 25 anni ed indicato le materie che prevalentemente tratto, ho aggiunto che sono particolarmente attivo su Linkedin, pessima idea! Mi hanno guardato allibiti. Sono partito male! Ahi ahi …. questi social network!!!!
Articolo di Stefano Comellini autore di
Scrivi un commento
Accedi per poter inserire un commento