Cosa è emerso da un’investigazione di alcune DPA europee e come rafforzare il ruolo del DPO
Durante l’ultima plenaria, l’European Data Protection Board (EDPB) fa il punto a 5 anni dall’introduzione del Regolamento Europeo sulla Protezione dei Dati sull’importanza della figura del DPO (o RPD – Responsabile dei Dati), dove si è discusso il report frutto di un’investigazione condotta nel corso del 2023 dalle Data Protection Authority (DPA) e alcuni European Data Protection Supervisor (EDPS).
Tramite un questionario a cui hanno risposto 17,490 stakeholder all’interno della Comunità Europea, di cui 15108 organizzazioni and 2382 DPO, sono emerse diverse difficoltà a cui i DPO sono andati incontro, come ad esempio:
- Assenza di una designazione di un DPO anche se obbligatoria
- Poche risorse allocate o esperti per il DPO
- DPO non vengono pienamente incaricati delle mansioni richieste dal GDPR
- Mancanza di indipendenza per le istruzioni ricevute su come svolgere i loro compiti
- Livelli di competenza
Malgrado queste difficoltà, i risultati di questo report vanno nella direzione opposta. Infatti, i DPO dichiarano di aver le giuste conoscenze e competenze per fare il loro lavoro e che ricevono il giusto grado di formazione per migliorare il loro percorso professionale. Inoltre hanno ben chiaro il loro ruolo e le attività da svolgere e nella maggior parte dei casi, non ricevono alcuna istruzione esterna.
Ad ogni modo, l’intento del CEF, Coordinated Enforcement Framework, era proprio quello di individuare i campi dove i DPO hanno le maggiori sfide. Infatti, Anu Talus, presidente dell’EDPB, ha dichiarato che l’incarico dato alle DPA era proprio quello di capire se i DPO hanno i mezzi per affrontare le loro attività come richiesto dal GDPR.
Lo studio mette in chiaro l’importanza del ruolo del DPO e la sua centralità nella protezione dei dati all’interno delle organizzazioni ed Enti Pubblici.
Il testo integrale di tale studio lo si può trovare qui.
È evidente che da 5 anni a questa parte, soprattutto le piccole e medie imprese, stanno prendendo coscienza di come proteggere la privacy delle persone da loro trattate e dell’impiego di esperti che possono supportarli in questo. Quindi il DPO, entra sempre più prepotente nei flussi e nei processi aziendali, fornisce il suo contributo e i suoi suggerimenti anche per non incappare in sanzioni che porterebbero ad un danno economico, ma anche, e forse peggio, d’immagine. Di fatto, il DPO potrebbe diventare un consulente aziendale, di fianco al Sr. Management, non soltanto quando interpellato per informazioni sulla tutela dei dati, ma per evidenziare punti d’attenzione nelle modalità di attuazione di determinate strategie.
Si ricorda, comunque, che la figura del DPO è obbligatoria nei tre seguenti casi, come descritto dall’art. 37 par.1 del GDPR:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
Al netto dell’obbligatorietà, è sempre consigliabile nominare un DPO perché:
- rappresenta un elemento fondante ai fini della responsabilizzazione;
- può facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese;
- può favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati);
- funge da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono nessun Ente o espressione di Terze Parti.