Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023

 
 
 

Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della Protezione dei Dati non sono nella posizione di riportare la propria attività direttamente ai vertici dell’organizzazione, il 30% degli intervistati ha dichiarato di non conoscere gli obblighi di reporting del DPO e, anche in relazione alla frequenza della rendicontazione, le risposte fornite da enti ed imprese sono insoddisfacenti.

Tutto ciò si traduce in non conformità che, secondo l’EDPB “possono dare luogo non solo a violazioni delle disposizioni del GDPR sui DPO, ma anche, più in generale, agli obblighi dei titolari del trattamento”.

 

Cosa prevede per il DPO l’articolo 38 del GDPR?

Secondo l’EDPB (il Comitato Europeo per la Protezione dei Dati) è necessario accrescere la consapevolezza di enti ed imprese rispetto agli obblighi previsti dal Regolamento europeo in materia di protezione dei dati personali (GDPR) e alle corrette modalità di applicazione degli stessi.

In particolare, l’articolo 38 del GDPR dispone che “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”. Tale previsione deriva dalla necessità di garantire che, qualora il titolare del trattamento assuma decisioni incompatibili con il GDPR, il DPO abbia la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori.

Il rapporto diretto fra il DPO ed il vertice dell’organizzazione (ad esempio, il consiglio di amministrazione) garantisce, da un lato, al DPO, la possibilità di svolgere le funzioni e i compiti a questi attribuiti dal Regolamento, dall’altro lato, che il vertice amministrativo sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal Responsabile della Protezione dei Dati, a supporto nella conformità dell’organizzazione.

 

Cosa è emerso dai controlli effettuati dall’EDPB?

Il report del 16 gennaio 2024 dell’EDPB, relativo all’azione di enforcement svolta dalle Autorità di controllo nel corso del 2023 (“2023 Coordinated Enforcement Action”), ha fatto emergere alcuni risultati incoraggianti ma anche importanti preoccupazioni. Alcune di queste riguardano la posizione del DPO e l’attività di rendicontazione svolta dallo stesso.

Alla domanda “Quante volte all’anno il DPO è tenuto a riferire al livello dirigenziale più alto?” le risposte sono state discordanti. La maggioranza degli intervistati (44,5%) ha dichiarato di aspettarsi una rendicontazione una o due volte l’anno ma ben il 16, 9% degli intervistati ha dichiarato di non aspettarsi alcun report o di aspettarselo ma di non averlo mai ricevuto (2,9%).

Questi risultati rivelano che i DPO potrebbero non avere rapporti diretti con i vertici dell’organizzazione. Anche una rendicontazione infrequente o irregolare (1-2 volte l’anno) genera preoccupazione riguardo all’efficacia del presidio e all’adeguatezza del coinvolgimento del Responsabile della Protezione dei Dati.

In aggiunta, al termine dei controlli del CEF, alcune Autorità di controllo hanno riportato che il DPO si interfacciava con funzioni gerarchicamente inferiori / subordinate alla dirigenza e che la posizione assunta dello stesso, all’interno dell’organigramma azionale, non era chiaramente delineata (a dimostrazione di una certa confusione in merito al corretto ruolo del Responsabile della Protezione dei Dati).  

 

A rischio la conformità dell’intera organizzazione

Le criticità rilevate non solo ostacolano il ruolo chiave assegnato al DPO dal GDPR, in quanto impediscono allo stesso di svolgere correttamente i compiti previsti dal GDPR, ma minano la conformità dell’intera organizzazione.

Se il DPO non si interfaccia in modo adeguato e diretto con la dirigenza significa che non è posto nella condizione adatta ad informare, a promuovere la cultura della conformità alla protezione dei dati, a proteggere i diritti degli interessati, etc. Tutto ciò si traduce in una violazione diretta degli obblighi del GDPR ed in una non conformità rispetto agli adempimenti in capo ai titolari del trattamento.

 

Quali conseguenze?

Ai sensi dell’articolo 83 del GDPR, se un titolare del trattamento non adempie ai propri obblighi in linea con gli articoli da 37 a 39 del GDPR, può essere soggetto a sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, nel caso di un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Tra le Autorità di controllo partecipanti al CEF 2023, in dieci hanno già sanzionato. Fra queste segnaliamo, in particolare, la campagna di indagine tematica della Commissione nazionale per la protezione dei dati (“CNPD”), Autorità di controllo del Lussemburgo; le recenti decisioni del garante belga (“Gegevensbeschermingsautoriteit”); ed i provvedimenti del nostro Garante per la protezione dei dati personali (11 ).

Altre Autorità di controllo, invece, intendono avviare nuove indagini formali.

 

Le azioni suggerite dall’EDPB

In primo luogo, l’EDPB auspica un’azione coordinata di sensibilizzazione da parte delle Autorità di controllo. Al tempo stesso fornisce alcune importanti raccomandazioni ai titolari del trattamento:

  • una rendicontazione frequente e diretta ai vertici assicura che l’intera organizzazione recepisca il lavoro del DPO e applichi le azioni suggerite dallo stesso;
  • la reportistica del DPO dovrebbe essere preferibilmente scritta, nell’ottica di accountability e di tracciabilità dell’attività del DPO, delle informazioni, della consulenza e dei pareri forniti al titolare;
  • l’organizzazione dovrebbe dotarsi di una procedura interna volta a garantire il coinvolgimento del DPO in tutte le tematiche attinenti alla protezione dei dati ed il rapporto diretto con i vertici dell’organizzazione;
  • la procedura dovrebbe includere dettagli sulla frequenza e sulla modalità di rendicontazione dell’attività svolta dal DPO;
  • il rapporto con i vertici dovrebbe essere adeguatamente formalizzato nell’organigramma dell’organizzazione.

 

Se necessiti di supporto nella verifica e nell’applicazione di tali azioni, ti invitiamo a rivolgerti al nostro Team di consulenti e ti ricordiamo che Labor Project eroga anche il servizio DPO, attraverso la divisione “DPO Professional Service”.

Infine, se desideri approfondire la disciplina normativa e le corrette modalità di applicazione della stessa, ti invitiamo a consultare il programma del nostro Corso di Alta Formazione, giunto alla 57a edizione in partenza il 7 maggio 2024.

Follow us on
Our Gallery