Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023
Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della Protezione dei Dati non sono nella posizione di riportare la propria attività direttamente ai vertici dell’organizzazione, il 30% degli intervistati ha dichiarato di non conoscere gli obblighi di reporting del DPO e, anche in relazione alla frequenza della rendicontazione, le risposte fornite da enti ed imprese sono insoddisfacenti.
Tutto ciò si traduce in non conformità che, secondo l’EDPB “possono dare luogo non solo a violazioni delle disposizioni del GDPR sui DPO, ma anche, più in generale, agli obblighi dei titolari del trattamento”.
Cosa prevede per il DPO l’articolo 38 del GDPR?
Secondo l’EDPB (il Comitato Europeo per la Protezione dei Dati) è necessario accrescere la consapevolezza di enti ed imprese rispetto agli obblighi previsti dal Regolamento europeo in materia di protezione dei dati personali (GDPR) e alle corrette modalità di applicazione degli stessi.
In particolare, l’articolo 38 del GDPR dispone che “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”. Tale previsione deriva dalla necessità di garantire che, qualora il titolare del trattamento assuma decisioni incompatibili con il GDPR, il DPO abbia la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori.
Il rapporto diretto fra il DPO ed il vertice dell’organizzazione (ad esempio, il consiglio di amministrazione) garantisce, da un lato, al DPO, la possibilità di svolgere le funzioni e i compiti a questi attribuiti dal Regolamento, dall’altro lato, che il vertice amministrativo sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal Responsabile della Protezione dei Dati, a supporto nella conformità dell’organizzazione.
Cosa è emerso dai controlli effettuati dall’EDPB?
Il report del 16 gennaio 2024 dell’EDPB, relativo all’azione di enforcement svolta dalle Autorità di controllo nel corso del 2023 (“2023 Coordinated Enforcement Action”), ha fatto emergere alcuni risultati incoraggianti ma anche importanti preoccupazioni. Alcune di queste riguardano la posizione del DPO e l’attività di rendicontazione svolta dallo stesso.
Alla domanda “Quante volte all’anno il DPO è tenuto a riferire al livello dirigenziale più alto?” le risposte sono state discordanti. La maggioranza degli intervistati (44,5%) ha dichiarato di aspettarsi una rendicontazione una o due volte l’anno ma ben il 16, 9% degli intervistati ha dichiarato di non aspettarsi alcun report o di aspettarselo ma di non averlo mai ricevuto (2,9%).
Questi risultati rivelano che i DPO potrebbero non avere rapporti diretti con i vertici dell’organizzazione. Anche una rendicontazione infrequente o irregolare (1-2 volte l’anno) genera preoccupazione riguardo all’efficacia del presidio e all’adeguatezza del coinvolgimento del Responsabile della Protezione dei Dati.
In aggiunta, al termine dei controlli del CEF, alcune Autorità di controllo hanno riportato che il DPO si interfacciava con funzioni gerarchicamente inferiori / subordinate alla dirigenza e che la posizione assunta dello stesso, all’interno dell’organigramma azionale, non era chiaramente delineata (a dimostrazione di una certa confusione in merito al corretto ruolo del Responsabile della Protezione dei Dati).
A rischio la conformità dell’intera organizzazione
Le criticità rilevate non solo ostacolano il ruolo chiave assegnato al DPO dal GDPR, in quanto impediscono allo stesso di svolgere correttamente i compiti previsti dal GDPR, ma minano la conformità dell’intera organizzazione.
Se il DPO non si interfaccia in modo adeguato e diretto con la dirigenza significa che non è posto nella condizione adatta ad informare, a promuovere la cultura della conformità alla protezione dei dati, a proteggere i diritti degli interessati, etc. Tutto ciò si traduce in una violazione diretta degli obblighi del GDPR ed in una non conformità rispetto agli adempimenti in capo ai titolari del trattamento.
Quali conseguenze?
Ai sensi dell’articolo 83 del GDPR, se un titolare del trattamento non adempie ai propri obblighi in linea con gli articoli da 37 a 39 del GDPR, può essere soggetto a sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, nel caso di un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Tra le Autorità di controllo partecipanti al CEF 2023, in dieci hanno già sanzionato. Fra queste segnaliamo, in particolare, la campagna di indagine tematica della Commissione nazionale per la protezione dei dati (“CNPD”), Autorità di controllo del Lussemburgo; le recenti decisioni del garante belga (“Gegevensbeschermingsautoriteit”); ed i provvedimenti del nostro Garante per la protezione dei dati personali (11 ).
Altre Autorità di controllo, invece, intendono avviare nuove indagini formali.
Le azioni suggerite dall’EDPB
In primo luogo, l’EDPB auspica un’azione coordinata di sensibilizzazione da parte delle Autorità di controllo. Al tempo stesso fornisce alcune importanti raccomandazioni ai titolari del trattamento:
- una rendicontazione frequente e diretta ai vertici assicura che l’intera organizzazione recepisca il lavoro del DPO e applichi le azioni suggerite dallo stesso;
- la reportistica del DPO dovrebbe essere preferibilmente scritta, nell’ottica di accountability e di tracciabilità dell’attività del DPO, delle informazioni, della consulenza e dei pareri forniti al titolare;
- l’organizzazione dovrebbe dotarsi di una procedura interna volta a garantire il coinvolgimento del DPO in tutte le tematiche attinenti alla protezione dei dati ed il rapporto diretto con i vertici dell’organizzazione;
- la procedura dovrebbe includere dettagli sulla frequenza e sulla modalità di rendicontazione dell’attività svolta dal DPO;
- il rapporto con i vertici dovrebbe essere adeguatamente formalizzato nell’organigramma dell’organizzazione.
Se necessiti di supporto nella verifica e nell’applicazione di tali azioni, ti invitiamo a rivolgerti al nostro Team di consulenti e ti ricordiamo che Labor Project eroga anche il servizio DPO, attraverso la divisione “DPO Professional Service”.
Infine, se desideri approfondire la disciplina normativa e le corrette modalità di applicazione della stessa, ti invitiamo a consultare il programma del nostro Corso di Alta Formazione, giunto alla 57a edizione in partenza il 7 maggio 2024.