Nell'ambito della sua strategia triennale 2020-2023, il European Data Protection Board (EDPB) si è concentrato sulla coerente applicazione del quadro normativo in materia di protezione dei dati personali negli Stati membri e sulla cooperazione tra le autorità di controllo. Una delle iniziative chiave intraprese per perseguire questo obiettivo è stata l'implementazione di un Coordinated Enforcement Framework (CEF), nell'ambito del quale 25 autorità garanti europee hanno avviato un'indagine coordinata sul ruolo del Data Protection Officer (DPO) istituito dal GDPR.

Panoramica dell'Indagine

L'indagine mirava a comprendere come il ruolo del DPO sia stato interpretato e implementato nella pratica dopo cinque anni dall'entrata in vigore del GDPR. A tal fine, sono stati inviati 60.000 questionari a numerose organizzazioni pubbliche e private, appartenenti a diversi settori industriali, nonché a DPO individuali. Sono state ricevute e analizzate oltre 17.000 risposte, di cui oltre 12.000 da aziende e oltre 2.000 da DPO. Il tasso di partecipazione relativamente basso potrebbe essere indicativo del fatto che alcune realtà meno virtuose abbiano preferito non fornire feedback, influenzando potenzialmente l'interpretazione dei risultati. Ciononostante, il quadro generale emerso dal report del 16 gennaio 2024 è positivo.

Risultati Generali Positivi

Secondo il report, la maggior parte dei DPO dichiara di:

• Possedere le competenze necessarie per svolgere il proprio lavoro
• Essere adeguatamente formati
• Avere compiti chiaramente definiti e conformi ai requisiti di legge
• Ricevere informazioni corrette per adempiere ai propri doveri
• Non subire condizionamenti nello svolgimento delle proprie attività
• Essere consultati nella maggior parte delle situazioni riguardanti il trattamento dei dati personali

Nei casi di nomina interna, il 35% dei DPO fa parte della funzione legale/compliance, l'11% appartiene alle prime linee, l'8% alla funzione IT e solo il 2% a risorse umane.

Criticità Rilevanti

Nonostante i risultati generalmente positivi, lo studio ha evidenziato alcune criticità significative che impediscono ai DPO di operare efficacemente o in piena conformità ai requisiti normativi. Le principali problematiche riscontrate riguardano:

• La mancata nomina del DPO in molti casi, anche quando obbligatoria
• L'insufficienza delle risorse allocate per lo svolgimento delle funzioni (in Italia, solo il 65% dei DPO ritiene di avere risorse adeguate)
• La mancata attribuzione di tutti i poteri necessari (in Italia, solo la metà dei DPO è dedicata a tempo pieno al ruolo)
• La carenza di indipendenza, talvolta combinata con conflitti di interesse (dovuti, ad esempio, all'attribuzione di responsabilità sui trattamenti, sulla redazione di contratti o sullo sviluppo di processi aziendali)
• L'assenza di un riporto diretto al vertice gerarchico

Raccomandazioni per Migliorare la Compliance

Per affrontare queste criticità e innalzare il livello di compliance, il report fornisce preziose raccomandazioni rivolte alle organizzazioni, ai DPO e alle autorità di controllo, tra cui:

Per le Organizzazioni

• Promuovere iniziative per aumentare la consapevolezza sull'importanza della nomina del DPO
• Verificare le risorse necessarie affinché i compiti del DPO possano essere svolti efficacemente, documentando le valutazioni effettuate
• Nei casi di nomina interna, assicurare ai DPO tempo e risorse sufficienti per l'aggiornamento professionale, considerando le costanti evoluzioni normative
• Mantenere una separazione adeguata tra gli obblighi dell'organizzazione e quelli del DPO
• Promuovere attivamente il ruolo del DPO all'interno dell'organizzazione per garantire il supporto necessario
• Coinvolgere strutturalmente il DPO in tutte le situazioni delicate connesse ai dati, incluso il coinvolgimento delle autorità
• Verificare l'adeguatezza dei presidi adottati per evitare conflitti di interesse
• Facilitare l'accesso del DPO al top management, a garanzia dell'indipendenza del ruolo

Per i DPO

• Mantenere un'adeguata separazione tra gli obblighi dell'organizzazione e quelli del DPO
• Assicurarsi di possedere le qualifiche professionali necessarie per svolgere efficacemente il ruolo
• Dedicare il tempo adeguato ai compiti del DPO, evitando di svolgere altre attività che potrebbero limitarne l'indipendenza o generare conflitti di interesse

Per le Autorità di Controllo

• Promuovere iniziative per aumentare l'awareness delle organizzazioni sull'importanza della nomina del DPO
• Verificare l'adeguatezza delle risorse allocate alle funzioni del DPO
• Monitorare l'indipendenza dei DPO e l'assenza di conflitti di interesse
• Incoraggiare il coinvolgimento strutturale del DPO nelle situazioni delicate connesse ai dati

Raccomandazioni Specifiche del Garante Italiano

L'allegato al report dell'EDPB include indicazioni di dettaglio fornite dal Garante per la protezione dei dati personali italiano, tra cui:

• In caso di nomina di un top manager come DPO, verificare l'assenza di conflitti di interesse
• Nelle nomine di gruppo, assicurarsi che il supporto fornito dal DPO sia adeguato per tutte le entità, che le risorse siano sufficienti e che i dati di contatto siano comunicati correttamente
• Limitare la nomina a soggetti dotati delle necessarie qualifiche professionali, in linea con la ratio della norma
• Individuare una figura in grado di adempiere pienamente ai compiti del ruolo, evitando persone che possano dedicare solo una parte marginale del proprio tempo
• Valutare l'opportunità di affidare i compiti a un team o di individuare un deputy DPO
• Assicurare flussi informativi diretti verso il top management, anche in un'ottica di corretta gestione dei rischi
• Documentare i motivi di eventuali discostamenti dalle decisioni dell'organizzazione rispetto al parere espresso dal DPO
• Rafforzare il coinvolgimento del DPO per attuare concretamente i principi di accountability, privacy by design e by default

Il Garante sottolinea che il DPO rappresenta una risorsa preziosa per il titolare del trattamento nell'aumentare la consapevolezza sui temi della privacy e della protezione dei dati all'interno dell'organizzazione.

Sanzioni Previste

L'EDPB ha colto l'occasione del rilascio del report per ricordare la possibilità di applicare sanzioni pecuniarie alle organizzazioni che non si conformano ai requisiti degli articoli da 37 a 39 del GDPR, relativi alla figura e ai compiti del DPO. Tali sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato di gruppo. Inoltre, le autorità garanti europee hanno già emesso numerosi provvedimenti sanzionatori a partire da maggio 2018, con il solo Garante italiano che ne ha emessi undici nel biennio 2021-2022.

DPO Interno vs Esterno: Vantaggi e Svantaggi

Il dibattito sulla scelta tra un DPO interno o esterno è un classico della materia. Il quadro delineato dall'indagine sembra confermare quanto emerso a livello operativo negli scorsi anni.

Vantaggi del DPO Interno

La nomina di una figura interna offre il vantaggio di una migliore conoscenza del contesto di riferimento da parte del manager designato, il che può contribuire a uno svolgimento più efficace dei compiti, purché non vi siano ostacoli posti da altre figure interne portatrici di interessi divergenti.

Vantaggi del DPO Esterno

D'altra parte, l'attribuzione dei compiti strategici del DPO a un consulente esterno assicura normalmente una maggiore indipendenza, l'assenza di conflitti di interesse e una preparazione più elevata, grazie alle esperienze professionali maturate supportando realtà differenti. In questo caso, la conoscenza profonda dell'organizzazione deve essere raggiunta attraverso un costante coordinamento con le persone chiave dell'azienda o dell'ente pubblico.

L'Evoluzione del Ruolo del DPO

Un'ultima considerazione riguarda l'estensione dell'ambito di competenza del DPO in relazione alle nuove sfide legate all'uso, alla protezione e alla valorizzazione dei dati, in particolare tenendo conto dell'impatto dell'Intelligenza Artificiale (IA) e della sua diffusione capillare in ogni settore. L'Unione Europea ha varato un ambizioso programma di innovazione legislativa in ambito tecnologico, proponendosi come leader mondiale nella normazione del digitale e dell'IA, sulla scia del successo del GDPR. In quest'ottica, un consulente esterno potrebbe risultare più idoneo rispetto a una figura aziendale nel monitorare il complesso quadro normativo connesso ai dati, supportare l'organizzazione nell'individuazione dell'impatto delle nuove regole sul business e strutturare presidi obbligatori e iniziative strategiche.