Presentazione
Questa, in sintesi, la fotografia dello stato dell'arte emerso dal CEF 2023 “Designazione e posizione dei Responsabili della Protezione dei Dati” adottato il 16 gennaio 2024. Vengono allora in aiuto le Raccomandazioni dell'EDPB – descritte nel proseguo - elaborate sulla scorta dei report delle varie Autorità interne. Monito improcrastinabile: le attuali Linee Guida sui DPO dovrebbero essere sviluppate ulteriormente sulla base dei risultati dell'indagine.
La struttura del CEF 2023 “Designazione e posizione dei Responsabili della Protezione dei Dati”
Ogni Garante Privacy nazionale ha contribuito all'indagine rispondendo a un questionario pre-concordato da tutte le Autorità al fine di realizzare il quadro di azione coordinata 2023 (CEF: Coordinated Enforcement Framework) dedicato alla definizione in concreto dello stato dell'arte dei DPO europei, raccolto in un'unica relazione redatta dall'EDPB.
Le due appendici annesse alla relazione costituiscono il sostrato della stessa, il materiale su cui è stata costruita: una presenta le statistiche e una presenta le analisi di ogni singolo Garante interno. L'elaborazione di tutti questi materiali ha fatto emergere le questioni salienti da affrontare. La relazione si dipana analizzando ciascuna questione con le relative azioni di contrasto e/o di miglioramento. Solo per fare qualche esempio: a fronte della questione sull'insufficienza delle risorse si raccomanda di far capire ai titolari del trattamento che un DPO con poche risorse equivale a una misura di accountability inefficace e si raccomanda altresì di realizzare materiali pronti all'uso per velocizzare il lavoro del DPO nonché tool kit e piattaforme apposite per colmare la penuria di risorse; a fronte della questione sul conflitto di interessi si raccomanda di avvertire i titolari che non possono assumere anche il ruolo di DPO e di evidenziare che lo stesso DPO non può prestare servizio per il titolare e per il responsabile del medesimo trattamento.
Le Raccomandazioni dell'EDPB
Le questioni salienti rilevate dall'EDPB sono 6:
- Assenza di designazione di un DPO, anche se obbligatoria;
- Risorse insufficienti assegnate al DPO;
- Insufficiente conoscenza specifica e formazione del DPO;
- I DPO non sono pienamente coinvolti nei compiti richiesti dal GDPR/EUDPR;
- Conflitto di interessi e mancanza di indipendenza del DPO;
- Frequente impossibilità del DPO di conferire e relazionare al più alto livello dirigenziale delle organizzazioni.
Riportiamo di seguito le analisi di ciascuna di tali questioni e le relative raccomandazioni così come affrontate dall'EDPB.
Assenza di designazione di un DPO, anche se obbligatoria
- Ulteriori iniziative da parte delle Autorità potrebbero sensibilizzare le organizzazioni in merito al loro obbligo di designare un DPO, anche se è effettivamente necessario o meno un DPO. Ulteriori indicazioni da parte delle Autorità sui requisiti applicabili per designare un DPO, ulteriori campagne di sensibilizzazione per promuovere le linee guida esistenti su questo argomento e le azioni di applicazione possono essere parte della soluzione per educare i Titolari e i Responsabili.
Risorse insufficienti assegnate al DPO
- Più iniziative e azioni da parte delle Autorità potrebbero incentivare la gestione delle organizzazioni a dedicare più risorse ai DPO e al loro team.
- In ogni momento, i Titolari e i Responsabili devono eseguire un'analisi appropriata, caso per caso, delle risorse di cui un DPO ha bisogno. Raccomandiamo che i Titolari prendano sul serio questo obbligo e siano pronti a fornire prova di questa attività.
- I Titolari e i Responsabili devono verificare attentamente che il DPO disponga di risorse sufficienti per svolgere correttamente le proprie funzioni. In alcuni casi, quando si impiega un DPO esterno, ciò può richiedere ai Titolari e ai Responsabili di verificare quanti clienti ha il DPO, per garantire che abbia tempo e capacità sufficienti per adempiere agli obblighi GDPR pertinenti.
- Ulteriori indicazioni da parte delle Autorità competenti e materiale formativo aggiuntivo potrebbero aiutare i DPO ad affrontare questioni complesse e a risparmiare tempo.
Insufficiente conoscenza specifica e formazione del DPO
- Le Autorità e/o l'EDPB potrebbero fornire ulteriori sessioni di orientamento e formazione per i DPO. Questi corsi di formazione (e la quantità di corsi di formazione necessari) possono essere personalizzati in base alle esigenze specifiche di ciascuno Stato membro.
- I Titolari e i Responsabili dovrebbero assicurarsi di documentare le conoscenze e le esigenze di formazione e i progressi delle loro organizzazioni. Questo può anche essere importante per garantire la conformità agli articoli 24 e 5, paragrafo 2, del GDPR e agli articoli 26 e 4, paragrafo 2, EUDPR.
- I Titolari e i Responsabili dovrebbero garantire che i DPO ricevano sufficienti opportunità, tempo e risorse per aggiornare le loro conoscenze e conoscere gli ultimi sviluppi, compresi, se pertinente alle loro attività, la nuova legislazione dell'UE relativa al digitale e all'Al.
- Aumento dell'uso di meccanismi e iniziative di certificazione, se del caso.
- Maggiore cooperazione da parte degli stakeholders con le università e i corsi di formazione guidati dal mercato.
I DPO non sono pienamente coinvolti nei compiti richiesti dal GDPR/EUDPR
- Più iniziative e azioni da parte delle Autorità potrebbero incentivare i Titolari e i Responsabili del trattamento a mantenere una corretta separazione tra, da un lato, gli obblighi del titolare/responsabile del trattamento e, dall'altro, gli obblighi e i doveri del DPO come stabilito dal GDPR/EUDPR.
- I Titolari dovrebbero assicurarsi di promuovere il ruolo del loro DPO internamente.
- I Titolari dovrebbero lavorare insieme ai loro DPO per costruire i loro ruoli in modo adeguatamente completo e indipendente.
- Le Autorità potrebbero includere i DPO e/o le loro opinioni in modo strutturale nei processi dell'Autorità quando contatta un titolare o un responsabile del trattamento, il che aiuterà ad abilitare e promuovere i DPO nel loro ruolo.
- Tutte le parti interessate dovrebbero promuovere il ruolo del DPO all'interno delle organizzazioni per garantire che il DPO sia considerato necessario e abbia un supporto efficace da parte del Titolare del trattamento (o responsabile del trattamento) in conformità con il GDPR/EUDPR.
- Le Autorità devono supportare ed incoraggiare le iniziative per proteggere e rafforzare l'indipendenza dei DPO a prescindere dalla forma del contratto in base al quale svolgono la loro funzione, in modo che i DPO si sentano sicuri nell'adempiere a tutti gli aspetti del loro ruolo.
- I Titolari e i Responsabili dovrebbero assicurarsi di rivedere attivamente e (ove necessario) migliorare il coinvolgimento del DPO all'interno dell'organizzazione. Tale revisione può, tra le altre cose, prendere in considerazione le linee guida sui DPO, una relazione annuale sulle attività del DPO e le buone pratiche generali.
Conflitto di interessi e mancanza di indipendenza del DPO
- Le Autorità ricordano che la figura del “conflitto di interessi” del DPO era già stato chiarito nelle Linee Guida sui DPO e più recentemente dalla CGUE nel caso X-Fab Dresden. Nonostante questo, i risultati della CEF action evidenziano i rischi di un possibile conflitto di interessi. Sulla base di ciò, le Linee Guida sui DPO dovrebbero essere ulteriormente sviluppate, tenendo conto anche dei nuovi ruoli assunti dai DPO in alcune organizzazioni in riferimento ai nuovi atti legislativi dell'UE in ambito digitale (es. DSA).
- Più iniziative e azioni da parte delle Autorità potrebbero verificare che il titolare e il responsabile del trattamento dispongano di garanzie adeguate nelle loro procedure per garantire che il DPO non sia responsabile dello (non sia coinvolto nello) svolgimento di compiti che portano a un conflitto di interessi.
- Si potrebbero prevedere maggiori attività di sensibilizzazione, di informazione e azioni di rinforzo per l'indipendenza del DPO (incluso il divieto di penalizzare e licenziare il DPO a causa dell'esecuzione dei propri compiti) sia da parte delle Autorità sia da parte dell'organizzazione stessa al proprio interno.
- Le organizzazioni e i DPO potrebbero formalizzare i doveri del DPO e le condizioni per svolgere i relativi compiti in una "lettera di incarico".
- I DPO dovrebbero essere in grado di raccogliere prove in caso di interferenze con la loro indipendenza.
Frequente impossibilità del DPO di conferire e relazionare al più alto livello dirigenziale delle organizzazioni
- L'obbligo legale di far sì che il DPO si rapporti con il più alto livello dirigenziale dell'organizzazione può trarre beneficio da ulteriori indicazioni per aiutare i titolari e i responsabili del trattamento ad attuarlo nella pratica. Le Autorità potrebbero incoraggiare l'elaborazione e l'adozione di standard di settore, politiche interne di protezione dei dati e migliori pratiche per definire meglio le condizioni, la frequenza, il contenuto e l'efficacia della segnalazione diretta del DPO al più alto livello gestionale.
- Le Autorità di controllo/l'EDPB potrebbero adottare raccomandazioni basate sulle "migliori pratiche" e/o un modello di Reporting del DPO (ad esempio per un reporting almeno annuale), definendo contenuti modulari e adattabili per tenere conto delle specificità delle organizzazioni e del settore.
- Le Autorità potrebbero avviare più azioni e iniziative per favorire il contatto diretto del DPO con il top management, che rappresenta un'importante garanzia dell'indipendenza del DPO.
(Fonte: Diritto e Giustizia)