DPO

Nel mese di gennaio l’European Data Protection Board (EDPB) ha pubblicato il rapporto sulle indagini coordinate condotte dalle Autorità di controllo nazionali e dall’European Data Protection Supervisor (EDPS) e finalizzate a comprendere l’importanza della figura del DPO.

A partire dall’analisi dei risultati ottenuti e alla luce dei consigli dettati dal Comitato, proviamo a delineare le caratteristiche riscontrabili in un “DPO evoluto”.

 

DPO, il suo ruolo

Il Regolamento Generale per la Protezione dei Dati Personali (GDPR – Reg. 2016/679/UE), ha istituito per la prima volta la figura del DPO, individuando presso le norme di riferimento:

  • i presupposti/requisiti per la designazione (art. 37 GDPR):
    • Trattamenti effettuati da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali; trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; trattamenti di dati personali di natura particolare e/o giudiziaria svolti su larga scala;
  • la posizione nell’Organigramma privacy aziendale (art. 38 GDPR):
    • Il DPO può essere esterno all’Organizzazione o interno, riceve direttamente dal Titolare del Trattamento e/o dal Responsabile le risorse necessarie per poter svolgere tutte le funzioni che gli sono attribuite;
  • le funzioni, il ruolo e i compiti (art. 39 GDPR):
    • Compiti informativi e consultivi a supporto del Titolare e del Responsabile del Trattamento; sorveglianza sull’effettiva osservazione del GDPR e delle altre normative e disposizione in materia di protezione dei dati personali all’interno dell’Organizzazione; cooperazione con l’autorità di controllo e ruolo di punto di contatto per quest’ultima relativamente a tutte le questioni inerenti i trattamenti svolti.

 

L’indagine

In realizzazione della strategia progettata per il periodo 2020-2023 e riconducibile all’interno del Coordinated Enforcement Framework (CEF), il 15 marzo 2023 il Comitato Europeo per la Protezione dei Dati (EDPB) ha presentato la seconda azione coordinata per verificare la coerenza nell’attuazione del Regolamento Europeo sulla Protezione dei Dati (GDPR – Reg. UE/2016/679) e la cooperazione tra le Autorità di Controllo.

L’iniziativa ha coinvolto in totale 26 Autorità di Controllo di cui 25 Supervisori nazionali degli Stati Membri e l’EDPS (il Garante Europeo per la Protezione dei Dati), e per questa seconda edizione il tema oggetto di approfondimento ha riguardato proprio il DPO (o Responsabile della Protezione dei Dati – RPD), ormai decorsi 5 anni dall’entrata in vigore del GDPR e dall’istituzione di tale figura.

Per quale motivo l’EDPB ha deciso di analizzare il profilo ed il ruolo del Data Protection Officer?

Il Responsabile della Protezione dei Dati svolge un ruolo essenziale, infatti, in termini generali, le sue attività sono finalizzate a favorire:

  • il rispetto della normativa sulla protezione dei dati
  • la promozione di una tutela efficace dei diritti degli interessati.

Per questo motivo, il Comitato Europeo ha inteso verificare la coerenza delle attività svolte tradizionalmente dai DPO alle disposizioni di cui ai citati artt. dal 37 al 39 GDPR e l’adeguatezza delle risorse di cui dispongono rispetto alle esigenze, al tipo e al carico di attività.

Ciascuna Autorità di Controllo coinvolta nelle indagini ha svolto – per il proprio stato membro di competenza – le attività necessarie alla luce dell’unico disegno indicato dal CEF, nel rispetto di linee guida armonizzate e applicabili in modo equivalente presso ogni singolo ordinamento e contesto nazionale; nello specifico, è previsto quanto segue:

  • l’invio di appositi questionari ai DPO interrogati, per semplificare l’istruttoria e la valutazione circa l’opportunità ovvero la necessità di dare avvio ad un accertamento formale;
  • l’avvio dell’eventuale accertamento formale opportuno o necessario;
  • l’assistenza agli accertamenti formali già in corso.

A livello comunitario i risultati dell’attività congiunta sono stati analizzati in modo coordinato; diversamente, in ciascun panorama nazionale l’Autorità di Controllo di riferimento ha valutato quali eventuali azioni intraprendere per correggere le criticità individuate dal pool. Inoltre, l’aggregazione dei risultati ottenuti costituirebbe la base per un’analisi più approfondita delle misure da introdurre al fine di risollevare la posizione ed il ruolo del DPO in tutto lo Spazio Economico Europeo, ripristinandone così quel prestigio (non solo formale ma soprattutto sostanziale) che la normativa racchiude e trasmette.

 

Passiamo ora all’analisi degli argomenti affrontati e dei risultati ottenuti dal Comitato Europeo rispettivamente durante e all’esito delle indagini coordinate.

I temi

Di seguito elenchiamo gli aspetti su cui ciascuna Autorità di Controllo ha posto la propria attenzione, secondo l’indirizzo di indagine prescritto dal Comitato:

  1. Caratteristiche essenziali del DPO
    1. Designazione;
    2. Conoscenze, esperienze e competenze;
    3. Compiti e risorse;
    4. Ruolo e posizione;
    5. Indicazione dell’Autorità di Controllo.
  2. Azioni di supporto intraprese dalle Autorità di Controllo nazionali
    1. Pubblicazione di indicazioni generali (p.e. linee guida, FAQ, ecc. …);
    2. Azioni verso le Organizzazioni, riguardanti la designazione, i compiti e/o il ruolo del DPO (p.e. esercizi di accertamento dei fatti, contatti informali, indagini, ecc. …) preliminari all’indagine coordinata;
    3. Azioni pianificate e da attuare in seguito alle indagini coordinate;
  3. Altri aspetti
    1. Impressioni generali circa la consapevolezza e la conformità delle Organizzazioni attenzionate rispetto al profilo del DPO;
    2. Individuazione di aspetti da affrontare, approfondire o migliorare per il futuro;
    3. Condivisione di buone pratiche conosciute o adottate.

 

I risultati

Per giungere ad una conclusione tangibile e per meglio comprendere la portata e la rilevanza delle indagini coordinate, elenchiamo di seguito le evidenze emerse nello svolgimento delle attività: la nostra attenzione sarà orientata, dapprima, in via più generale sull’intero panorama europeo e, successivamente, in modo più mirato sugli elementi raccolti durante l’interrogazione a campione dei DPO italiani.

A livello comunitario, presentiamo di seguito le risposte più tipiche rilasciate dai DPO interrogati all’interno dello Spazio Economico Europeo.

Le principali dichiarazioni rese dai DPO europei hanno evidenziato aspetti legati a:

  • le competenze e le conoscenze in materia di protezione dei dati personali;
  • l’accesso e la partecipazione a corsi di formazione e di aggiornamento, fondamentali per la propria crescita professionale e per il continuo miglioramento nello svolgimento dei propri compiti;
  • lo svolgimento di attività consultive, in risposta alle necessità degli Interessati;
  • l’osservanza dei pareri rilasciati ai Titolari del Trattamento;
  • l’adeguatezza delle informazioni e dei mezzi per svolgere in modo adeguato i propri ruoli e funzioni.

Sebbene mantenga uno spirito alquanto ottimista, l’EDPB ha rilevato una serie di criticità cui ha inteso far fronte mediante l’elencazione di alcune raccomandazioni, rivolte a tutte le Organizzazioni pubbliche e private, finalizzate all’individuazione di DPO altamente qualificati e alla gestione più compliant dei rapporti tra le Parti.

 

DPO, criticità e indicazioni correttive

Di seguito affrontiamo con maggiore precisione ciascuna criticità e le relative indicazioni correttive:

Mancata designazione del DPO:
Provvedere alla designazione, soprattutto se obbligatoria, e predisporre incarichi specifici per tutti i compiti che la normativa sulla protezione dei dati attribuisce a tale figura

Insufficienti risorse assegnate alle funzioni di DPO:
Organizzare maggiori iniziative che possano incentivare la collocazione di maggiori risorse a disposizione dei DPO per l’espletamento delle proprie funzioni

Esperienza, conoscenza e competenze insufficienti:
Invitare i DPO a dedicare maggiore attenzione ed energie alle mission di sensibilizzazione, informazione ed applicazione del GDPR e delle normative nazionali correlate.
Verificare le conoscenze specialistiche dei DPO individuati e il loro aggiornamento continuo e, al contempo, prevedere risorse adeguate a sostenere lo svolgimento delle sue funzioni. È necessario ricordare che il DPO deve essere una figura trasversale, dotata di adeguate conoscenze e competenze nei temi legali, tecnici, informatici, etc.

Compiti affidati ai DPO non pienamente in linea con le normative:
Distinguere e formalizzare con maggiore precisione obblighi e doveri dei Titolari/Responsabili e dei DPO, in linea con quanto previsto dal GDPR e dall’UEDPR

Conflitti di interesse e mancanza di indipendenza
Assicurare e rafforzare l’indipendenza del DPO

Mancanza di report delle attività svolte dal DPO agli alti livelli manageriali dell’Organizzazione
Incoraggiare l’adozione di standard, policy e procedure per definire le modalità e i canali attraverso cui i DPO possono riferire le attività svolte agli alti livelli manageriali dell’Ente o dell’Organizzazione

Ulteriori indicazioni delle Autorità di controllo
Intensificare la pubblicazione di linee guida e lo sviluppo di indicazioni a supporto dei DPO, anche e soprattutto alla luce dei risultati ottenuti durante queste indagini.

 

DPO, la situazione italiana

Spostando la nostra attenzione alla situazione italiana, approfondita dalle attività svolte direttamente dal Garante per la Protezione dei Dati Personali italiano a campione su DPO di Organizzazioni appartenenti ad ambo i settori pubblico e privato, osserviamo quanto segue:

Designazione del DPO, conflitti di interesse e indipendenza
Nell’ambito dei DPO che svolgono attività nel settore pubblico, l’EDPB sottolinea alcune criticità circa il procedimento di designazione e la possibilità che sorgano conflitti di interesse.
In questa circostanza, è calzante richiamare quattro provvedimenti sanzionatori del Garante Privacy Italiano contro enti locali per il mancato esaurimento corretto dell’iter di designazione del Responsabile della Protezione dei Dati, da concludere con la comunicazione dei dati di contatto del DPO all’Autorità. I provvedimenti in parola segnano la conclusione di differenti indagini che lasciano presagire l’ampiezza del fenomeno anche presso altre realtà amministrative-comunali.
Per quanto riguarda la designazione dei DPO che svolgono attività nel settore privato, invece, l’EDPB osserva una problematica in particolare, relativamente alla nomina di un unico DPO per un intero gruppo societario (holding e tutte le società controllate). In tale ipotesi sarà importante che il DPO sia facilmente raggiungibile da ciascuna società e che venga nominata da ciascuna di esse.

Funzioni e risorse assegnate
Il Comitato Europeo rileva nel settore pubblico l’assenza della definizione di doveri specifici in capo ai DPO nominati e, nel settore privato, l’attribuzione non formalizzata ma effettiva di compiti ulteriori, che impedisce loro di svolgere le principali mansioni ricevute in sede di nomina.

Esperienza, conoscenza e competenze
Nel settore pubblico l’EDP osserva un basso grado di esperienza e/o di specializzazione. Al contrario, i DPO operanti nel settore privato vantano conoscenze più approfondite, maggiore esperienza, costanti formazione e aggiornamento.

Ruolo e posizione
Sebbene in entrambi i casi i DPO possano vantare una posizione di rilevo nel tessuto organizzativo del Titolare (Ente o Azienda) per cui svolgono le proprie funzioni, il Comitato Europeo evidenzia che nell’un caso il RPD non è consultato, nell’altro rivolge le proprie indicazioni ai soli vertici delle diverse aree/funzioni aziendali; inoltre, l’EDPB rileva che in nessuna ipotesi il Titolare giustifica o motiva le ragioni che lo hanno spinto a discostarsi da quanto indicatogli dal DPO.

 

Conclusioni

Cosa possiamo trarre da queste considerazioni?

Il DPO riveste un ruolo rilevante per molteplici aspetti, che trovano una loro ragione sul piano normativo e di principi e, soprattutto, sul piano operativo: è un professionista teorico e ancor di più pratico.

Relativamente alla figura ed al ruolo del DPO, non esiste compliance normativa se viene meno anche solo uno degli aspetti e degli elementi rispetto ai quali il Comitato Europeo per la Protezione dei Dati ha riscontrato le criticità elencate, nel panorama comunitario e nazionale.

Per questo motivo, le indicazioni suggerite dall’EDPB mirano a rafforzare l’essenza del DPO che già traspare dal GDPR, quale figura non ultra-specializzata in un’unica materia (o poche) quanto, piuttosto, un profilo trasversale, il giusto esperto e competente nelle diverse discipline legali, tecniche, informatiche, in grado di muoversi con dinamicità tra le varie problematiche che necessitano di risoluzione.

Il DPO deve essere una figura in grado di:

  • proporre soluzioni flessibili e ad hoc per ciascun caso concreto, attingendo e manipolando differenti discipline, anche tra loro apparentemente lontane;
  • supportare l’Organizzazione ad operare in tutte le sue aree entro i confini della piena compliance normativa, consigliando al Titolare le corrette modalità tecniche ed operative di gestione dei trattamenti di dati personali;
  • individuare le modalità che meglio possano proteggere il Titolare del trattamento da violazioni di dati personali o dalle relative conseguenze.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!