Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale? In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023

 
 
 

Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della Protezione dei Dati non sono nella posizione di riportare la propria attività direttamente ai vertici dell’organizzazione, il 30% degli intervistati ha dichiarato di non conoscere gli obblighi di reporting del DPO e, anche in relazione alla frequenza della rendicontazione, le risposte fornite da enti ed imprese sono insoddisfacenti.

Tutto ciò si traduce in non conformità che, secondo l’EDPB “possono dare luogo non solo a violazioni delle disposizioni del GDPR sui DPO, ma anche, più in generale, agli obblighi dei titolari del trattamento”.

 

Cosa prevede per il DPO l’articolo 38 del GDPR?

Secondo l’EDPB (il Comitato Europeo per la Protezione dei Dati) è necessario accrescere la consapevolezza di enti ed imprese rispetto agli obblighi previsti dal Regolamento europeo in materia di protezione dei dati personali (GDPR) e alle corrette modalità di applicazione degli stessi.

In particolare, l’articolo 38 del GDPR dispone che “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”. Tale previsione deriva dalla necessità di garantire che, qualora il titolare del trattamento assuma decisioni incompatibili con il GDPR, il DPO abbia la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori.

Il rapporto diretto fra il DPO ed il vertice dell’organizzazione (ad esempio, il consiglio di amministrazione) garantisce, da un lato, al DPO, la possibilità di svolgere le funzioni e i compiti a questi attribuiti dal Regolamento, dall’altro lato, che il vertice amministrativo sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal Responsabile della Protezione dei Dati, a supporto nella conformità dell’organizzazione.

 

Cosa è emerso dai controlli effettuati dall’EDPB?

Il report del 16 gennaio 2024 dell’EDPB, relativo all’azione di enforcement svolta dalle Autorità di controllo nel corso del 2023 (“2023 Coordinated Enforcement Action”), ha fatto emergere alcuni risultati incoraggianti ma anche importanti preoccupazioni. Alcune di queste riguardano la posizione del DPO e l’attività di rendicontazione svolta dallo stesso.

Alla domanda “Quante volte all’anno il DPO è tenuto a riferire al livello dirigenziale più alto?” le risposte sono state discordanti. La maggioranza degli intervistati (44,5%) ha dichiarato di aspettarsi una rendicontazione una o due volte l’anno ma ben il 16, 9% degli intervistati ha dichiarato di non aspettarsi alcun report o di aspettarselo ma di non averlo mai ricevuto (2,9%).

Questi risultati rivelano che i DPO potrebbero non avere rapporti diretti con i vertici dell’organizzazione. Anche una rendicontazione infrequente o irregolare (1-2 volte l’anno) genera preoccupazione riguardo all’efficacia del presidio e all’adeguatezza del coinvolgimento del Responsabile della Protezione dei Dati.

In aggiunta, al termine dei controlli del CEF, alcune Autorità di controllo hanno riportato che il DPO si interfacciava con funzioni gerarchicamente inferiori / subordinate alla dirigenza e che la posizione assunta dello stesso, all’interno dell’organigramma azionale, non era chiaramente delineata (a dimostrazione di una certa confusione in merito al corretto ruolo del Responsabile della Protezione dei Dati).  

 

A rischio la conformità dell’intera organizzazione

Le criticità rilevate non solo ostacolano il ruolo chiave assegnato al DPO dal GDPR, in quanto impediscono allo stesso di svolgere correttamente i compiti previsti dal GDPR, ma minano la conformità dell’intera organizzazione.

Se il DPO non si interfaccia in modo adeguato e diretto con la dirigenza significa che non è posto nella condizione adatta ad informare, a promuovere la cultura della conformità alla protezione dei dati, a proteggere i diritti degli interessati, etc. Tutto ciò si traduce in una violazione diretta degli obblighi del GDPR ed in una non conformità rispetto agli adempimenti in capo ai titolari del trattamento.

 

Quali conseguenze?

Ai sensi dell’articolo 83 del GDPR, se un titolare del trattamento non adempie ai propri obblighi in linea con gli articoli da 37 a 39 del GDPR, può essere soggetto a sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, nel caso di un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Tra le Autorità di controllo partecipanti al CEF 2023, in dieci hanno già sanzionato. Fra queste segnaliamo, in particolare, la campagna di indagine tematica della Commissione nazionale per la protezione dei dati (“CNPD”), Autorità di controllo del Lussemburgo; le recenti decisioni del garante belga (“Gegevensbeschermingsautoriteit”); ed i provvedimenti del nostro Garante per la protezione dei dati personali (11 ).

Altre Autorità di controllo, invece, intendono avviare nuove indagini formali.

 

Le azioni suggerite dall’EDPB

In primo luogo, l’EDPB auspica un’azione coordinata di sensibilizzazione da parte delle Autorità di controllo. Al tempo stesso fornisce alcune importanti raccomandazioni ai titolari del trattamento:

  • una rendicontazione frequente e diretta ai vertici assicura che l’intera organizzazione recepisca il lavoro del DPO e applichi le azioni suggerite dallo stesso;
  • la reportistica del DPO dovrebbe essere preferibilmente scritta, nell’ottica di accountability e di tracciabilità dell’attività del DPO, delle informazioni, della consulenza e dei pareri forniti al titolare;
  • l’organizzazione dovrebbe dotarsi di una procedura interna volta a garantire il coinvolgimento del DPO in tutte le tematiche attinenti alla protezione dei dati ed il rapporto diretto con i vertici dell’organizzazione;
  • la procedura dovrebbe includere dettagli sulla frequenza e sulla modalità di rendicontazione dell’attività svolta dal DPO;
  • il rapporto con i vertici dovrebbe essere adeguatamente formalizzato nell’organigramma dell’organizzazione.

 

Se necessiti di supporto nella verifica e nell’applicazione di tali azioni, ti invitiamo a rivolgerti al nostro Team di consulenti e ti ricordiamo che Labor Project eroga anche il servizio DPO, attraverso la divisione “DPO Professional Service”.

Infine, se desideri approfondire la disciplina normativa e le corrette modalità di applicazione della stessa, ti invitiamo a consultare il programma del nostro Corso di Alta Formazione, giunto alla 57a edizione in partenza il 7 maggio 2024.

Follow us on
Our Gallery