Indice
Ruolo e controlli del DPO
Il Data Protection Officer (DPO) è una delle figure chiave del GDPR, inutile e superfluo oramai dirlo. Peraltro, dopo un’iniziale diffidenza, in questi anni le aziende hanno raggiunto la consapevolezza dell’importanza del DPO e della imprescindibile necessità di lavorare in team con lo stesso DPO per garantire la compliance su tutti i punti del GPDR.
In sintesi: il DPO deve essere nominato nei casi dell’articolo 37, deve essere scelto nel rispetto dei requisiti dell’articolo 38 GDPR e delle Linee Guida WP243 e deve svolgere le attività di cui all’articolo 39 (quindi deve essere operativo e non solo di forma).
Dopo cinque anni, però, l’EDPB ritiene che sia arrivato il momento di avviare una raccolta di informazioni su come i DPO rispettano le attività e quanto previsto dal GDPR.
L’analisi verrà realizzata dai singoli Garanti su tutta l’UE e potrà portare a dei controlli. L’unico precedente rispetto a questa iniziativa è l’attività realizzata dal Garante del Lussemburgo nei confronti di enti e aziende per verificare l’adeguatezza del DPO scelto. Da questa prima iniziativa già si possono trarre qualche importante spunto per anticipare le attività di controllo e acquisizione dati all’interno dell’iniziativa dell’EDPB.
L’avvio delle procedure ispettive da parte del Garante del Lussemburgo
L’Autorità Garante lussemburghese ha svolto le sue verifiche ponendosi vari obbiettivi di controllo. Una sorta di pressure test sulla figura del DPO che si è articolato in undici punti che possono essere oggi utilizzati in vista dei questionari che invierà il Garante ai DPO.
Gli 11 punti in cui si è articolato il pressure test
1. Obbligo di nomina del DPO
L’autorità del Lussemburgo ha per prima cosa preso di mira quegli enti e quelle organizzazioni tenute, ai sensi del GDPR, a nominare un DPO e ha verificato se fosse effettivamente stato adempiuto tale obbligo di designazione.
Per un maggiore approfondimento sulla casistica dell’obbligo di nomina del DPO si veda il nostro articolo Obbligo di nomina del DPO: tutti i criteri.
Pur non avendo fatto una analisi a tappeto, anche il Garante italiano in questi anni si è più volte confrontato sull’obbligo di DPO; un caso interessante e recente riguarda l’Ordinanza ingiunzione nei confronti di società Poliambulatorio Radiologico “il Sorriso” S.r.l. – 10 novembre 2022. In tale provvedimento, il Garante risponde alla teoria del Poliambulatorio che sosteneva di non rientrare nell’obbligo di nomina dell’articolo 37 per assenza della Larga scala, ritenuta non corretta per lo stesso Garante alla luce dei principi della norma.
2. La pubblicazione dei dati di contatto del DPO
Ai sensi dell’art. 13 GDPR, i dati di contatto del DPO devono essere resi pubblici: il DPO deve, infatti, essere punto di riferimento non solo per il titolare, ma anche per gli interessati.
La pubblicazione può essere fatta sul sito web istituzionale di un’apposita pagina dedicata all’esercizio dei dati dei diritti dell’interessato o tramite il loro inserimento nell’informativa privacy e la pubblicazione di quest’ultima online.
I dati di contatto del DPO dovrebbero comprendere tutte le informazioni che consentono agli interessati e all’autorità di controllo di raggiungere facilmente il DPO stesso: sicuramente l’indirizzo dedicato di posta elettronica, ma ove opportuno, si potrebbero considerare anche canali ulteriori, come, ad esempio, un modulo specifico per contattare il RPD pubblicato sul sito del titolare/responsabile.
In base al Regolamento, non è necessario pubblicare anche il nominativo del RPD. Seppure ciò rappresenti una buona prassi, spetta al titolare o al responsabile e allo stesso DPO stabilire se si tratti di un’informazione necessaria o utile nelle specifiche circostanze
3. La comunicazione dei dati di contatto del DPO all’autorità garante
Tale comunicazione è un obbligo che grava sul titolare o sul responsabile del trattamento, il quale quindi è anche tenuto ad effettuare tempestivamente, sempre tramite la procedura disponibile online, la variazione o la revoca della precedente comunicazione.
Rispetto alla pubblicazione dei dati di contatto e alla comunicazione dei dati al Garante, si è spesso verificata la seguente fattispecie “patologica”: la notifica al Garante veniva fatta subito nel 2018, inserendo come dati di contatto – per esempio- l’email del DPO, tuttavia successivamente l’Azienda procedeva all’istituzionalizzazione di un account dedicato al DPO e si dimenticava di aggiornare sul punto la nomina originaria fatta al Garante.
Attenzione, quindi, a garantire un costante ed efficace canale di comunicazione tra titolare e autorità garante sulla figura del DPO.
4. Le competenze e le capacità del DPO
Il DPO deve avere competenze e capacità sufficienti per svolgere efficacemente la propria mansione.
Stabilire un giusto metodo, una misura, un valore sulle competenze del DPO, certo, non è scontato. Il criterio dell’esperienza nel settore dal Garante del Lussemburgo, ad esempio, è stato successivamente molto criticato. Ancora, in un provvedimento del Tar Friuli è stato criticato il valore della certificazione come auditor ISO27001, richiesto all’interno di una procedura di selezione pubblica per DPO. Ma anche l’iscrizione all’albo professionale degli avvocati è stata considerata un requisito discriminatorio, risultando insufficiente a dimostrare il possesso delle competenze tecniche del DPO e al contempo idoneo a escludere dalla selezione altri soggetti esperti della materia, ma non iscritti all’albo. (vedi Atto di segnalazione concernente i titoli di ammissibilità richiesti per la partecipazione ad una procedura di selezione pubblica per l’affidamento di un incarico di RPD).
Il suggerimento è quello di valutare le specifiche caratteristiche e necessità della propria organizzazione, in linea con quanto richiesto dall’art. 37 par. 5 del GDPR:
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39
Le linee guida WP243 integrano tale articolo disponendo che i livelli di competenza e di esperienza del DPO debbano essere proporzionati alla sensibilità complessità e volume dei dati trattati dal Titolare.
5. Nessun conflitto di interesse deve gravare sul DPO
Quello delle incompatibilità rappresenta uno dei tempi più delicati della materia. Sul punto l’art. 38, par. 6 prevede espressamente che
il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
È decisivo, soprattutto nei casi di DPO interno, verificare che i compiti e le mansioni dello stesso non siano in conflitto di interessi con il ruolo di DPO. Tuttavia, non sempre è agevole prevenire i casi in cui possano configurarsi dei conflitti d’interesse, ed infatti lo stesso Garante ha riscontrato numerose situazioni in cui viene nominato, quale DPO, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività con la necessaria indipendenza.
Nelle Linee guida del WP243 e nelle FAQ del Garante sono state già indicate situazioni di conflitto di interessi in relazione a ruoli manageriali di vertice come quelli, tra gli altri, di responsabile finanziario, di direttore delle risorse umane, o di responsabile dei Sistemi informativi. In ogni caso, le stesse Linee guida specificano che la valutazione delle incompatibilità debba essere fatta “caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento”. Pertanto, si deve procedere ad un’analisi mirata del ruolo, della posizione gerarchica e delle mansioni del soggetto all’interno dell’ente o dell’organizzazione aziendale.
Un caso particolarmente rilevante di conflitto di interessi è quello che è stato oggetto del provvedimento del Garante Belga 18/2020; con lo stesso è stata sanzionata un’azienda che aveva nominato come DPO il “capo dei dipartimenti di Compliance, Risk management e Audit”; come viene ben approfondito nel nostro articolo Data Protection Officer interno e conflitto di interessi, svolgere una funzione apicale all’interno dell’organizzazione compromette gli imprescindibili requisiti di autonomia e indipendenza del DPO.
6. Il DPO deve disporre di risorse adeguate
Altro aspetto fondamentale connesso alla funzione del DPO è rappresentato dalle risorse disponibili. In merito l’articolo 38, secondo paragrafo, del Regolamento obbliga il titolare o il responsabile del trattamento a sostenere il DPO “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.
Ciò si traduce, come suggeriscono le Linee Guida WP 243, nelle seguenti indicazioni:
- Supporto attivo delle funzioni del DPO da parte del senior management
- Tempo sufficiente per l’espletamento dei compiti affidati al DPO
- Supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e personale
- Comunicazione ufficiale della nomina di DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda/organismo
- Accesso ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al DPO supporto, informazioni e input essenziali;
- formazione permanente, in modo da consentire un incremento continuo del livello di competenze del DPO
- Disporre di un ufficio o di un gruppo di lavoro
7. Il DPO deve poter svolgere i propri compiti con sufficiente autonomia all’interno della propria organizzazione
È l’articolo 38 del GDPR a far riferimento a tale requisito, laddove, al comma 3, afferma che
Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.
Sono sempre le Linee Guida wp243 ad aiutarci a riempire di significato tali disposizioni: nelle stesse si legge, infatti, che “autonomia” significa che nell’esecuzione dei propri compiti il DPO non deve ricevere istruzioni sull’approccio da seguire nel caso specifico, ossia quali sono i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Si specifica, poi, che il Responsabile della protezione dei dati non deve ricevere alcuna istruzione nemmeno sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.
Inoltre, tale autonomia comporta anche la possibilità del DPO di dialogare con i vertici dell’organizzazione nel caso in cui il titolare o il responsabile assumano decisioni incompatibili con le indicazioni fornite dallo stesso e con il GDPR.
8. L’organizzazione deve costantemente coinvolgere il DPO rispetto a tutte le questioni inerenti alla protezione dei dati
Per tutte le questioni correlate al trattamento dei dati, si deve verificare che il DPO sia effettivamente coinvolto, ascoltato, interrogato. Nella pratica accade ancora troppo spesso che il DPO sia reso partecipe solo alla conclusione di un progetto, quando cioè si è pronti a far partire un’iniziativa; Tale informazione e consultazione deve, al contrario, avvenire sin dalle fasi iniziali, facilitando l’osservanza del Regolamento e il rispetto del principio di privacy (e protezione dati) fin dalla fase di progettazione. In termini operativi, è importante, ad esempio, che il DPO sia chiamato a partecipare ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento o che sia tempestivamente consultato qualora si verifichi una violazione dei dati o un altro incidente.
9. Il DPO deve fornire informazioni e consulenza al titolare del trattamento e ai dipendenti
Ai sensi del disposto normativo di cui all’art. 39 GDPR, il DPO ha il compito di fornire consulenza specialistica al titolare o al responsabile e ai dipendenti. A tal fine, il DPO non potrà esimersi dal compiere una periodica valutazione dell’intero sistema produttivo, sia per mezzo di audit interni che per il tramite di colloqui individuali, più o meno informali, con i soggetti appartenenti all’azienda, sotto il profilo tecnico ed organizzativo.
Le linee guida wp243 riportano alcuni esempi:
- è necessario che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello, presenziando anche ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati;
- il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
- il parere del DPO deve ricevere sempre la dovuta considerazione. In caso di disaccordi, è buona prassi documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO.
10. Il DPO deve poter svolgere un’adeguata data governance
Si deve verificare se il DPO sia nella posizione di poter esercitare un controllo adeguato sull’applicazione dei principi del GDPR all’interno della sua organizzazione, cioè se possa operare all’interno dell’organizzazione in modo tale da far rispettare la legge. In particolare, nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere assistito dal DPO nel controllo del rispetto a livello interno del GDPR.
Il controllo del rispetto del regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR chiarisce, infatti, che il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.
11. Il DPO è tenuto a supportare concretamente il titolare del trattamento nelle valutazioni d’impatto riguardo a nuovi trattamenti di dati personali
Seppur spetti al titolare del trattamento e non al Responsabile della protezione dei dati effettuare una valutazione di impatto sulla protezione dei dati, il DPO svolge un ruolo di primo piano nello svolgimento di tale DPIA. Infatti, Il titolare, quando svolge una DPIA, deve consultarsi col DPO il quale, ai sensi dell’art. 39, primo paragrafo lettera c), ha il compito “di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento.” (vedi, ad esempio, il nostro approfondimento Body-cam alle Forze dell’Ordine: spunti per una DPIA a prova di Garante)
Le Linee Guida WP243 precisano che nel caso in cui il titolare non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
I risultati del pressure test del Garante di Lussemburgo
All’esito delle 25 procedure di audit del Garante di Lussemburgo, molte aziende ed enti hanno subito sanzioni, il che ovviamente significa che i DPO sono risultati carenti su uno o più dei punti sopra esaminati.
In particolare, spesso i soggetti sottoposti a controllo sono venuti meno all’obbligo di nomina del DPO; la fattispecie più ricorrente, però, è risultata quello di DPO palesemente incompatibile con altri ruoli che il medesimo soggetto ricopriva all’interno dell’azienda. Tra i casi non passati indenni al vaglio dell’autorità lussemburghese vi quello in cui il soggetto che ricopriva la carica di DPO era anche responsabile della compliance e della security all’interno dell’azienda… una realtà, dunque, nella quale il DPO doveva controllare se stesso.
Un altro caso decisamente interessante è quello riguardante la mancanza di competenze in capo al DPO: infatti, l’autorità lussemburghese- ragionando sull’art. 37 par. 5 del GDPR e sulle linee guida W243- ha dichiarato che gli standard qualitativi previsti dal GDPR per i DPO possono ritenersi soddisfatti solo dopo un’esperienza professionale di almeno 3 anni.
Il ruolo del DPO sarà il focus del CEF 2023
Ragionare sul ruolo dei responsabili della protezione dei dati risulta ancora una tematica di centrale e attuale interesse, tanto è vero che le 26 Autorità di controllo dello Spazio Economico Europeo (SEE)- compreso il Garante europeo della protezione dei dati- hanno scelto proprio questo come tema per il Coordinated Enforcement Framework- CEF 2023.
Risulta infatti, fondamentale focalizzarsi sulla designazione e sulla posizione dei DPO in quanto, operando come intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati, contribuiscono in maniera dirimente al rispetto della normativa sulla protezione dei dati e al promuovere una tutela efficace dei diritti degli interessati.
Come funzionerà l’indagine. Le Autorità nazionali e, quindi il Garante provvederà ad:
- Inviare questionari ai DPO per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali
- Avviare gli accertamenti formali
- Fare un follow – up degli accertamenti formali in corso
All’esito di questa procedura, i risultati saranno analizzati in maniera coordinata al fine di valutare eventuali azioni a livello nazionale.
Grazie all’aggregazione dei risultati si procederà, poi, ad un follow up mirato a livello europeo.
Diversamente dai controlli del Garante lussemburghese, questa analisi verrà fatta direttamente sui DPO. Quindi, probabilmente, le domande che verranno fatte potranno essere differenti rispetto agli 11 punti sopra esposti, ma sicuramente anche per il titolare del trattamento, vale la pena, se non lo si è mai fatto, prima dell’arrivo del questionario del Garante, verificare l’operato del proprio DPO.