Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti   Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR    Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità   Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR

  
 

Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei Data Protection Officer (DPO) nell’assolvere ai propri compiti, con particolare attenzione alla gestione del tempo e delle risorse.

La sanzione ad un Titolare del trattamento belga si inserisce in un caso di reclamo che riguarda la ricezione di messaggi commerciali non richiesti a scopo di marketing diretto, nonostante il reclamante abbia esercitato il suo diritto alla cancellazione e all’opposizione.

Il tema del diritto di accesso dell’interessato è peraltro stato inserito dal European Data Protection Board (EDPB) nella sua azione di Coordinated Enforcement Framework (CEF) per il 2024 e in questi giorni molte aziende stanno ricevendo il questionario dalle proprie Autorità Garanti Privacy.

 
 
Il caso

Il DPO della società colpita dal provvedimento lavorava solo tre giorni alla settimana ed era l’unica persona ad avere accesso a un particolare indirizzo di posta elettronica al quale erano state inviate richieste dall’Autorità belga per la protezione dei dati circa il mancato riscontro agli interessati.

Questa situazione ha portato a diverse criticità, tra cui:

Mancata cancellazione dei dati: Nonostante le richieste di cancellazione dei dati personali da parte degli interessati, l’azienda non è riuscita a soddisfare tali richieste nei tempi previsti.

Non considerazione delle opposizioni al marketing diretto: L’azienda ha continuato a inviare comunicazioni di marketing diretto nonostante la richiesta di opt – out dagli interessati.

 

DPO e Problemi di Gestione del Tempo

Una delle principali sfide affrontate dai DPO è la gestione del tempo, specialmente quando il ruolo è ricoperto a tempo parziale.

Il provvedimento evidenzia la necessità di allocare risorse sufficienti e garantire che il DPO disponga del tempo necessario per adempiere ai suoi compiti.

Infatti, l’articolo 38.2 del GDPR specifica che il Titolare del trattamento e il Responsabile del trattamento devono aiutare il DPO a svolgere i suoi compiti, fornendo le risorse necessarie e l’accesso ai dati personali e alle operazioni di trattamento.

Una cattiva gestione del tempo può portare a conflitti di priorità, compromettendo la capacità del DPO di svolgere efficacemente le sue missioni.

 

Obblighi di Conformità

Il DPO ha il compito di monitorare le attività di trattamento dei dati, gestire le richieste degli interessati e cooperare con le autorità di controllo sulla protezione dei dati.

Questi obblighi richiedono un’attenta pianificazione e allocazione del tempo per essere rispettati (art.39 GDPR).

 

Sovraccarico di Lavoro del DPO senza un Team di supporto

Un punto critico evidenziato riguarda il sovraccarico di lavoro dei DPO part-time.

Il provvedimento riporta casi specifici in cui un DPO part-time non è riuscito a gestire efficacemente le richieste a causa della sua eccessiva mole di lavoro.

Questa situazione è stata aggravata dalla mancanza di misure organizzative adeguate a garantire la conformità al GDPR e da un carente piano di lavoro per garantire che il DPO abbia il tempo necessario.

È stata quindi necessaria l’assunzione di un nuovo DPO a tempo pieno per risolvere tali problemi e migliorare la gestione delle richieste di cancellazione dei dati e altre comunicazioni importanti.

 

Integrazione del DPO

Il DPO dovrebbe essere coinvolto in tutte le questioni relative alla protezione dei dati sin dalla fase di progettazione (“privacy by design”).

Questo include la partecipazione ai gruppi di lavoro (Team) e la consultazione su progetti di trattamento dei dati.

 

Supporto Organizzativo

Il supporto organizzativo e l’accesso alle risorse sono cruciali.

È responsabilità del Titolare del trattamento garantire che il DPO abbia accesso alle informazioni necessarie e il supporto adeguato a svolgere le sue funzioni.

Le risorse allocate devono essere proporzionali alla complessità delle operazioni di trattamento dei dati dell’organizzazione (cfr. Linee guida sul DPO del EDPB- WP 243 rev. 01).

Se il titolare del trattamento nomina un DPO e utilizza un indirizzo e-mail generico come “privacy@xxx.be” per rispondere alle richieste degli interessati, è responsabilità del titolare del trattamento garantire che le e-mail inviate a tale indirizzo siano regolarmente consultate ed elaborate, anche in caso di dimissioni del DPO o se il carico di lavoro diventa eccessivo.

 

Il provvedimento ribadisce l’importanza del ruolo del DPO e la necessità di garantire che disponga del tempo e delle risorse adeguate per svolgere le sue funzioni in modo efficace.

Una gestione del tempo adeguata e un supporto organizzativo appropriato sono fondamentali per prevenire situazioni di sovraccarico e garantire la conformità alle normative sulla protezione dei dati.

Per la cronaca il caso si è chiuso con una sanzione amministrativa di poco più di 170.000 EUR, ridotta dopo aver tenuto conto delle condizioni economiche dell’azienda; prendendo come basi della sanzione la violazione degli articoli 5.1 – 5.2 – 17 – 21 del GDPR (ndr. accountability forever !!! ).

 

Cosa fare?

Assicurarsi che i DPO abbiano il tempo e le risorse necessarie è essenziale per mantenere la conformità al GDPR e proteggere i dati personali.

Le organizzazioni devono adottare misure proattive per supportare i DPO, riconoscendo la complessità e l’importanza del loro ruolo.

Invito le aziende a rivedere le proprie pratiche di supporto ai DPO e a considerare se stanno facendo abbastanza per garantire che questi professionisti possano svolgere il loro lavoro in modo efficace e senza sovraccarichi.

Solo così possiamo garantire una protezione dei dati adeguata e rispettare appieno le normative vigenti.

Follow us on
Our Gallery