Ruolo del DPO: alcuni suggerimenti per evitare sanzioni

Una sanzione pubblicata sul sito del Garante Privacy del Lussemburgo (CNDP) a giugno 2021 si è concentrata sul coinvolgimento effettivo del RPD | DPO da parte del Titolare del trattamento.



Una sanzione pubblicata sul sito del Garante Privacy del Lussemburgo (di seguito anche CNDP) a giugno 2021 si è concentrata sul coinvolgimento effettivo del RPD | DPO (Responsabile della Portezione dei Dati Personali - Data Protection Officer) da parte del Titolare del trattamento. Scopriamo insieme tutti i dettagli e i suggerimenti per evitare sanzioni.

Cosa prevede la normativa GDPR?

Come è noto, ai sensi dell’articolo 38 del GDPR, il Titolare e il Responsabile del trattamento assicurano che il RPD | DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. 

Questo significa che il RPD | DPO, per far valere le proprie capacità, deve essere coinvolto quanto prima possibile in ogni questione attinente la protezione dei dati personali.

Ad esempio, per quanto concerne la DPIA (Data Protection Impact Assessment), il GDPR prevede espressamente che il RPD | DPO vi sia coinvolto fin dalle fasi iniziali e specifica che il Titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni.  

Assicurare il tempestivo e immediato coinvolgimento del RPD | DPO, tramite la sua informazione e consultazione fin dalle fasi iniziali (privacy by design), faciliterà l’osservanza del Regolamento sulla protezione dei dati. Pertanto, questo dovrebbe essere il modello di approccio da applicare all’interno dell’organizzazione del titolare e/o responsabile del trattamento.  

Cosa fare per garantire la governance privacy del Titolare?

Il RPD | DPO deve essere annoverato fra gli interlocutori all’interno dell’organizzazione per la quale opera e deve partecipare ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.  

Ciò significa che occorrerà garantire, per esempio, che il RPD | DPO: 

  • Sia invitato a partecipare su base regolare alle riunioni del management. La frequenza deve essere proporzionale alle attività di trattamento svolte dall’Ente o della Società
  • Sia presente ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea
  • Effettui attività formativa periodica nei confronti degli autorizzati al trattamento
  • Riceva sempre la dovuta considerazione. In caso di disaccordo, l’EDPB raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal RPD | DPO
  • Sia consultato tempestivamente qualora si verifichi una violazione dei dati o in occasione delle interlocuzioni avviate dalla Autorità Garante per la Protezione dei Dati Personali (GPDP) nel corso di specifici procedimenti o nel caso di richieste degli interessati. 

Cos'ha rilevato il Garante Lussemburghese e quali suggerimenti per evitare sanzioni? 

Di seguito elenchiamo alcuni dei rilievi del Garante (CNDP) al Titolare del trattamento e alcuni suggerimenti operativi che ogni RPD | DPO dovrebbe formalizzare nella propria documentazione con la quale organizza il servizio. 

1. Il RPD | DPO della società non sembra essere stato invitato a tutte le riunioni pertinenti legate ai trattamenti dati e quindi non si poteva ritenere che fosse stato coinvolto in modo corretto e tempestivo in tutte le questioni relative alla protezione dei dati personali come previsto dall'articolo 38 (1) GPDR.

Suggerimento: informare il management periodicamente di quelli che sono i temi per i quali il servizio RPD | DPO debba essere coinvolto – prevedere e formalizzare una serie di trattamenti per i quali vi è un obbligo di coinvolgimento. Nel caso si venisse a conoscenza di trattamenti posti in essere senza il preventivo coinvolgimento (Privacy by design) il RPD | DPO deve rilevare la criticità con comunicazione specifica al management. All’atto della presa in carico del servizio occorre anche avere definito una persona interna all’organizzazione che sia punto di riferimento per il RPD|DPO.

2. Il DPO non riportava direttamente al più alto livello dirigenziale della società, non garantendo quindi che il DPO potesse agire senza ricevere alcuna istruzione in merito all'esercizio dei propri compiti ai sensi dell'art. 38(3) GPDR.

Suggerimento: predisporre una relazione periodica (ad evento, semestrale o annuale) indirizzata al procuratore privacy e/o al consiglio di Amministrazione – la relazione potrebbe anche essere riassunta in una presentazione slides – nel caso di riunioni ad hoc verbalizzare le stesse.

Al punto 8 del documento di indirizzo rivolto agli RPD | DPO dell’Autorità Garante Privacy Italiana si suggerisce altresì di instaurare contatti continui e regolari fra Titolare | Responsabile e RPD | DPO e non saltuari; infatti l’eventuale responsabilità potrebbe essere imputabile ad entrambi.

3. Il Garante si aspettava ragionevolmente che il DPO effettuasse una rendicontazione formale e frequente delle proprie attività alla direzione. Durante l’indagine è stato rilevato che tale rendicontazione non era stata istituita e che la società pertanto non soddisfaceva i requisiti dell'articolo 39 (1) (a) GDPR che prevede che il DPO debba informare e consigliare il titolare del trattamento | Suggerimento: vedi punto 2.

4. La società non è stata in grado di dimostrare di avere un piano di audit periodico, violando così l'articolo 39 (1) (b) GPDR per quanto riguarda i doveri del DPO di monitorare il rispetto del GPDR. Suggerimento: Il DPO deve predisporre un piano di lavoro | attività annuale che gli consenta di raccogliere tutte le informazioni utili ad avere una visione generale dei trattamenti effettuati e dei principali documenti privacy presenti in azienda nonché informazioni sulla formazione effettuata. Il Titolare per il principio generale dello “Jus vigilandi” dovrà chiedere copia del piano delle attività e prevedere momenti di condivisione.

La sanzione

In considerazione delle violazioni sopra riportate, il CNPD (Garante Lussemburghese) ha comminato alla società una sanzione amministrativa di quindicimila euro (15.000 euro); ha altresì ordinato al Titolare del trattamento di conformarsi agli articoli 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) GDPR entro quattro mesi dalla notifica della decisione.

Labor Project, oltre al servizio DPO esterno attraverso la divisione DPO Professional Service, ha strutturato un servizio di consulenza e affiancamento per i data protection officer interni, ed è in grado inoltre di effettuare audit che possano permettere al titolare di verificare l’efficacia del servizio DPO istituito.

Se ti è piaciuto l'articolo condividi: