Spettabile staff di esperti, psicologi, truffatori e consulenti di coppia della DPO Anonimi,

innanzitutto grazie, anche da parte mia, per il lavoro meritorio che fate per farci sentire meno soli.

Vi domando scusa in anticipo per il tono un po’ melenso che la mia accorata missiva avrà. Mi ritrovo, infatti, con una questione molto personale da sottoporvi, e non so se questa sia la sede giusta. Ho scritto anche a Cronaca Seria, ma non mi hanno risposto.

Mi chiamo Maria, ho 38 anni e sono anche io DPO. Da tre mesi.

Opero in una grande realtà del Nord-Sud-Ovest-Est (scusatemi se sono vaga geograficamente sul punto, ma ci tengo a rimanere anonima: a breve ne comprenderete il perchè) che si occupa di sperimentazione medica healthy non violenta vegana-zen su animali. In particolare, cerchiamo di generare dipendenza da Zigulì Fragola Blister nei bonobo, affinché si rechino, poi, in farmacia a comprare le caramelle da soli e non vengano ingannati dal farmacista in fase di consegna del resto.

Come immaginate, visto che operiamo nel farmaceutico e nell’animalistico, siamo stati obbligati a designare un DPO. E, come immaginate, la fortuna è toccata a me. Ero la competenza più qualificata in azienda (in passato ho pubblicato per errore alcune foto hot su un sito di meditazione spirituale e sono stata denunciata specificamente per reati connessi alla privacy, come potete notare nel CV che vi allego ma che vi prego di mantenere anonimo, quindi le mie competenze erano acclarate), quindi, dicevo, sono stata nominata DPO dopo una valutazione comparativa con un bonobo che aveva letto fino alla fine senza saltare nessuna pagina tre Commentari Privacy ma… ho grossi problemi con la relazione che si è venuta a creare col Titolare. Mi sembra che sia diventato troppo esigente e, a mio modesto avviso, mi sta affidando compiti che non rientrano nell’ufficio del Data Protection Officer.

Da un lato, questa sua esuberanza nel riempirmi di compiti mi inorgoglisce. Dall’altro, non penso di riuscire a svolgere il mio incarico correttamente e compiutamente, viste le numerose incombenze che si assommano ora dopo ora.

In particolare, vorrei il vostro parere sui seguenti compiti che mi sono stati assegnati e formalizzati nella nomina. Non sono certa che rientrino tutti nelle indicazioni di legge.

1. Devo portare, e recuperare, i figli del Titolare a scuola tutte le mattine, compreso il sabato. Ora, ho letto con attenzione sia i considerando, sia gli articoli, sia tutti i documenti del "vecchio" Working Party, ma non mi sembra di aver trovato alcun cenno a tali compiti. Il titolare sostiene che si tratti di un chiaro obbligo di tutela dei dati dei minori che non hanno compiuto 14 anni, ma mi suona strano. Voi cosa ne pensate? E se addestrassi un bonobo che abbiamo in azienda per svolgere tale compito? Ah, un aspetto marginale: il fatto che io non abbia la patente, può sollevare problemi di privacy?

2. Devo spostare la macchina otto volte al giorno a ogni scadere di ora di disco orario, evitando le telecamere del Comune. Anche su questo compito, sono molto dibattuta. Da un lato, è un task che mi impedisce di concentrarmi. Provate voi a mettervi a studiare, o a fare qualcosa, e poi ogni cinquanta minuti dovete scendere per spostare la macchina.  Dall’altro, in effetti, leggendo con attenzione le righe del GDPR, soprattutto con un'interpretazione congiunta/disgiunta, è compito del DPO verificare, insieme al titolare, i sistemi di videosorveglianza nei pressi dell’azienda. Per evitare le telecamere, miro e investo sovente volontariamente dei pedoni, soprattutto anziani. Sono qui a domandarvi se nel necessario equilibrio costante dei diritti e delle libertà delle persone, l'uccisione prevalga rispetto alle telecamere. E anche qui vi domando se il fatto che io non abbia mai preso la patente (sto aspettando di avere sufficienti Bitcoin per acquistarla falsa su Internet) possa porre problemi di protezione dei dati.

3. Devo prenotare ogni mercoledì in pausa pranzo per il mio Titolare una doppia col materasso ad acqua e ventilatore gigante con specchio sul soffitto e Branca Menta nel frigobar e pedane antiscivolo e trampolino nella doccia al celebre Motel “da PIA” sulla tangenziale, fornendo un nome di fantasia. Qui non ho dubbi sul fatto che sia un mio compito, ma ho dubbi sul processo di anonimizzazione che devo seguire. Devo usare sempre lo stesso nome di fantasia, o lo posso cambiare ogni settimana? Ora, come nome di fantasia sto scegliendo ogni settimana quello della moglie del mio Titolare.  Il nome di fantasia deve essere considerato alla stregua di una credenziale? O quella che vi sto descrivendo è una situazione da Motel più assimilabile al penetration test?

4. Mi viene domandato, dal mio Titolare, di tagliare le gomme delle vetture degli interessati che esercitano il diritto all’oblio e di rettifica e, addirittura, di aggredire fisicamente coloro che domandano la portabilità dei dati. Non ho trovato, però, riferimenti normativi su tali modalità di riscontro all'esercizio dei diritti. Posso continuare a farlo, o notate delle controindicazioni?

5. Quando giunge una telefonata da un qualsiasi numero di Roma sul cellulare del DPO che abbiamo fornito al Garante (abbiamo fornito il numero, non il cellulare), il titolare mi obbliga a fingermi una sartoria di Napoli che vende completi tre pezzi in lana a 149 euro per professionisti. Ne ho già venduti sei, in questo modo, ma il titolare non mi ha riconosciuto provvigioni sulle vendite. E neanche il Garante. Posso rivolgermi ai sindacati?

6. Mi è stato domandato, dopo aver seguito i tutorial di una serie su  YouTube intitolata “Lavoretti senza costo e senza sforzo” e tutti gli episodi di “fa fa fa fatto!,” che, per inciso, mi piacciono molto, di copiare e incollare, a caso, informative altrui e moduli di richiesta del consenso trovati sul web per risparmiare sulle spese del legale e poi di convogliare tutto, così com'è, nel registro delle attività di trattamento. Non mi sembra un lavoro fatto male, anche se volevo domandare se ho fatto bene, ad esempio, a prendere una informativa di un locale per scambio di coppie e il modulo di consenso del proctologo di mio marito. Non mi sembrano ben abbinati, se non in un paio di occasioni.

Che dire, cara Redazione di DPO Anomimi, sono veramente sconfortata.

Credevo fosse un lavoro nobile, latore di autorevolezza, generatore di un profilo impavido, con compiti di supervisione. Volevo diventare la sceriffa della privacy, mi rivedevo come Sharon Stone, cappello e pistola, in "Pronti a morire".

E invece mi trovo sola la sera, in azienda, con un bicchiere di whisky, due noccioline e uno scimpanzé nano che gioca con il mio smartphone meglio di me a Candy Crush, a pensare alla mia prima storia d'amore con il vecchio responsabile interno (prima che lo eliminassero fisicamente, non essendo previsto dal GDPR, avemmo una bellissima liaison) e alle lettere d’amore che inserivamo, cifrate, nel nostro Documento Programmatico sulla Sicurezza... Ah, che tempi…

Vi voglio bene. Vi ringrazio per tutto quello che riuscirete a fare per me.

DPO Anonima

:: :: :: :: :: :: ::

Cara Maria Anonima, cari bonobo,

grazie a voi per la lettera accorata (nel caso dei bonobo: accodata). Non preoccuparti, cara Maria, siamo qui anche per dare consigli sentimentali. Il rapporto che si viene a creare tra DPO e Titolare è, sovente, unico, ben più di un rapporto di fiducia ma, azzarderei, di vera e propria simbiosi. Pensa che già ci sono arrivate le prime partecipazioni di matrimonio tra DPO e Titolari. E anche tra DPO e DPO (che, però, scelgono camere separate, per garantire l’indipendenza del loro ruolo).

Prima di rispondere ai tuoi quesiti, permettici di fare alcune osservazioni.

Il problema che tu ci poni sta dilaniando la comunità europea dei DPO.

Spesso il DPO viene inquadrato come consulente privacy, solitamente per risparmiare sui costi del legale, mentre sono ben chiari, nel testo del GDPR, i suoi compiti e, anche, i suoi limiti. NON è un consulente privacy nè si deve occupare lui/lei personalmente dell'adeguamento. Deve fare il consulente sullo stato di attuazione, che è cosa ben diversa.

Scusa se mi permetto, ma è venuta l'ora che voi DPO vi ribelliate! Vi dovete rifiutare, e sottolineo rifiutare, di svolgere qualsiasi compito al di fuori di quelli specificamente previsti, e sottolineo previsti.

Se non siete voi i primi a ribellarvi, e sottolineo ribellarvi, a scioperare, tutto il sistema crollerà. Il riconoscimento dei diritti, e sottolineo diritti, non può che venire da voi, dal basso, con la forza di una rivoluzione. E sottolineo una.

Per cui non dovete arretrare di un centimetro, vi dovete opporre a ogni richiesta che non sia legittima. Ricordate il ragazzo che fermò i carri armati in piazza Tienanmen? Sapete meglio di me come una calza velata bianca su una gamba non depilata possa fermare anche il più impavido degli amanti? Ecco, così dovete essere. Forti. Fermi. Intransigenti. E imparare a dire di no. E sottolineo di. Come una calza velata bianca.

Vediamo ai tuoi casi specifici, e perdonami in anticipo se sarò io a essere il primo intransigente. Ma è il momento di ridare al DPO il suo ruolo originario. Senza fare sconti su nulla.

1. Sì, è chiaramente compito del DPO, e quindi tuo, andare a prendere e portare i figli del Titolare a scuola, ma anche alle feste di compleanno, soprattutto quelle nel priveé di McDonalds con un tizio col cappellino che cerca di fare il simpatico. Trovi il riferimento in tal senso in ben in tre testi normativi di grande autorevolezza: i) la parte del GDPR che parla del trattamento dei dati dei minori, ii) la convenzione internazionale per la salvaguardia del fanciullo, e iii) un regolamento condominiale di fuori Perugia di un mio secondo cugino.

2. Sì, anche spostare la macchina del titolare è un compito tuo, e lo devi fare con gioia. Stai attenta se c’è montata una dashcam o un rilevatore GPS, che in tal caso devi fare anche una valutazione d’impatto prima dell'impatto coi pedoni di cui mi fai cenno. In entrambi i casi, la mancanza della patente non pone problemi di protezione dei dati, anzi, ti facilita gli adempimenti. Meno dati hai, meno problemi hai, dice il Saggio.

3. Circa il Motel, ti consiglierei, come Julia Roberts in Notting Hill, di utilizzare nomi di fantasia mutuati da personaggi di cartoni animati, così non sono immediatamente riferibili a una persona. Nel Motel che solitamente frequento io (ogni giovedì dalle 15:00 alle 15:04: a proposito, nel caso passassi da quelle parti...), ad esempio, come nome di fantasia uso spesso “cane da tartufo” perché gli animali non sono soggetti al GDPR. E neanche i tartufi.

4. Confermo che sia tuo compito tagliare le gomme e malmenare interessati che abbiano l'ardire di esercitare direttamente i loro diritti. Prima delle botte, però, devi dar loro l’informativa, e puoi scegliere o quella dell’Articolo 13 (se quelli che stai per menare sono in presenza, o a una distanza equiparabile a quella dei duelli di Mezzogiorno di Fuoco), o quella dell’Articolo 14 (se non fai in tempo perché la rissa è improvvisa, quindi prima li meni e poi dai l’informativa). Nel dubbio, se prima menare, o prima dare l'informativa, mena, ça va sans dire. Stai solo attenta a rispettare con cura il periodo di conservazione dei denti dell'interessato che hai indicato in informativa, e a usare come base giuridica sempre la tutela della salute dell’interessato.

5. Sì, è corretto anche questo compito. Se vedi arrivare telefonate con prefisso 06 o da anonimo, rispondi, perché ricordati che il DPO deve sempre essere disponibile e reperibile, ma presentati come sartoria o, a scelta, bocciofila, negozio di caccia e pesca o rivendita di videogiochi vintage (sono tre categorie che non sono mai state sanzionate dal Garante dal 1997 a oggi).

6. Anche in questo caso, le direttive che ti ha dato il Titolare sono assolutamente corrette. La informativa cosiddetta ratatouille, o patchwork, o Lego, o Frankenstein è molto comune ed apprezzata in sede di ispezione ed e considerata assolutamente conforme. Esistono software che le compongono casualmente e ti tolgono anche dall’imbarazzo di riflettere se i vari documenti siano omogenei tra loro, soprattutto se sei una persona indecisa. Se ci possiamo permettere di consigliare alcuni abbinamenti che stanno dando buona prova nella pratica, e che resistono bene alle ispezioni, ti suggeriamo:

Informativa di una azienda che produce latte + modulo raccolta consenso di una torrefazione + registro dei trattamenti di azienda che produce cacao (“Compliance Cappuccino”).

Informativa di azienda che coltiva frutta + modulo consenso di azienda di chiodi di garofano + registro dei trattamenti di una enoteca (“Compliance Sangria”).

Informativa di parrucchiera + consenso di negozio abbigliamento + registro dei trattamenti del Dancing Verde Luna (“Compliance Capodanno”)

Informativa di agenzia di modelle + consenso della modella più bella + registro dei trattamenti di hotel di lusso (“Compliance seee, ti piacerebbe…”)

Un ultimo suggerimento che ci sentiamo di darti è di lavorare sul rapporto con il tuo Titolare.

Dovete riuscire a raggiungere un buon livello di armonia, anche perché per ora siete solo voi due, ma quando nel vostro rapporto entreranno anche Garante, Responsabile e interessati, vedrà che la situazione diventerà più complessa e affollata da gestire.

Un abbraccio, cara Maria, e happy compliance!

Per la redazione di questa risposta, non sono stati maltrattati animali.

La Redazione di DPO Anonimi