La gestione del tempo del DPO: un fattore critico per la conformità al GDPR
Con la decisione 87/2024 pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei Data Protection Officer (DPO) nell’assolvere ai propri compiti, con particolare attenzione alla gestione del tempo e delle risorse.
La sanzione ad un Titolare del trattamento belga si inserisce in un caso di reclamo che riguarda la ricezione di messaggi commerciali non richiesti a scopo di marketing diretto, nonostante il reclamante abbia esercitato il suo diritto alla cancellazione e all’opposizione.
Il tema del diritto di accesso dell’interessato è peraltro stato inserito dal European Data Protection Board (EDPB) nella sua azione di Coordinated Enforcement Framework (CEF) per il 2024 e in questi giorni molte aziende stanno ricevendo il questionario dalle proprie Autorità Garanti Privacy.
Il caso
Il DPO della società colpita dal provvedimento lavorava solo tre giorni alla settimana ed era l’unica persona ad avere accesso a un particolare indirizzo di posta elettronica al quale erano state inviate richieste dall’Autorità belga per la protezione dei dati circa il mancato riscontro agli interessati.
Questa situazione ha portato a diverse criticità, tra cui:
Mancata cancellazione dei dati: Nonostante le richieste di cancellazione dei dati personali da parte degli interessati, l’azienda non è riuscita a soddisfare tali richieste nei tempi previsti.
Non considerazione delle opposizioni al marketing diretto: L’azienda ha continuato a inviare comunicazioni di marketing diretto nonostante la richiesta di opt – out dagli interessati.
DPO e Problemi di Gestione del Tempo
Una delle principali sfide affrontate dai DPO è la gestione del tempo, specialmente quando il ruolo è ricoperto a tempo parziale.
Il provvedimento evidenzia la necessità di allocare risorse sufficienti e garantire che il DPO disponga del tempo necessario per adempiere ai suoi compiti.
Infatti, l’articolo 38.2 del GDPR specifica che il Titolare del trattamento e il Responsabile del trattamento devono aiutare il DPO a svolgere i suoi compiti, fornendo le risorse necessarie e l’accesso ai dati personali e alle operazioni di trattamento.
Una cattiva gestione del tempo può portare a conflitti di priorità, compromettendo la capacità del DPO di svolgere efficacemente le sue missioni.
Obblighi di Conformità
Il DPO ha il compito di monitorare le attività di trattamento dei dati, gestire le richieste degli interessati e cooperare con le autorità di controllo sulla protezione dei dati.
Questi obblighi richiedono un’attenta pianificazione e allocazione del tempo per essere rispettati (art.39 GDPR).
Sovraccarico di Lavoro del DPO senza un Team di supporto
Un punto critico evidenziato riguarda il sovraccarico di lavoro dei DPO part-time.
Il provvedimento riporta casi specifici in cui un DPO part-time non è riuscito a gestire efficacemente le richieste a causa della sua eccessiva mole di lavoro.
Questa situazione è stata aggravata dalla mancanza di misure organizzative adeguate a garantire la conformità al GDPR e da un carente piano di lavoro per garantire che il DPO abbia il tempo necessario.
È stata quindi necessaria l’assunzione di un nuovo DPO a tempo pieno per risolvere tali problemi e migliorare la gestione delle richieste di cancellazione dei dati e altre comunicazioni importanti.
Integrazione del DPO
Il DPO dovrebbe essere coinvolto in tutte le questioni relative alla protezione dei dati sin dalla fase di progettazione (“privacy by design”).
Questo include la partecipazione ai gruppi di lavoro (Team) e la consultazione su progetti di trattamento dei dati.
Supporto Organizzativo
Il supporto organizzativo e l’accesso alle risorse sono cruciali.
È responsabilità del Titolare del trattamento garantire che il DPO abbia accesso alle informazioni necessarie e il supporto adeguato a svolgere le sue funzioni.
Le risorse allocate devono essere proporzionali alla complessità delle operazioni di trattamento dei dati dell’organizzazione (cfr. Linee guida sul DPO del EDPB- WP 243 rev. 01).
Se il titolare del trattamento nomina un DPO e utilizza un indirizzo e-mail generico come “privacy@xxx.be” per rispondere alle richieste degli interessati, è responsabilità del titolare del trattamento garantire che le e-mail inviate a tale indirizzo siano regolarmente consultate ed elaborate, anche in caso di dimissioni del DPO o se il carico di lavoro diventa eccessivo.
Il provvedimento ribadisce l’importanza del ruolo del DPO e la necessità di garantire che disponga del tempo e delle risorse adeguate per svolgere le sue funzioni in modo efficace.
Una gestione del tempo adeguata e un supporto organizzativo appropriato sono fondamentali per prevenire situazioni di sovraccarico e garantire la conformità alle normative sulla protezione dei dati.
Per la cronaca il caso si è chiuso con una sanzione amministrativa di poco più di 170.000 EUR, ridotta dopo aver tenuto conto delle condizioni economiche dell’azienda; prendendo come basi della sanzione la violazione degli articoli 5.1 – 5.2 – 17 – 21 del GDPR (ndr. accountability forever !!! ).
Cosa fare?
Assicurarsi che i DPO abbiano il tempo e le risorse necessarie è essenziale per mantenere la conformità al GDPR e proteggere i dati personali.
Le organizzazioni devono adottare misure proattive per supportare i DPO, riconoscendo la complessità e l’importanza del loro ruolo.
Invito le aziende a rivedere le proprie pratiche di supporto ai DPO e a considerare se stanno facendo abbastanza per garantire che questi professionisti possano svolgere il loro lavoro in modo efficace e senza sovraccarichi.
Solo così possiamo garantire una protezione dei dati adeguata e rispettare appieno le normative vigenti.