La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR

  
 

Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei Data Protection Officer (DPO) nell’assolvere ai propri compiti, con particolare attenzione alla gestione del tempo e delle risorse.

La sanzione ad un Titolare del trattamento belga si inserisce in un caso di reclamo che riguarda la ricezione di messaggi commerciali non richiesti a scopo di marketing diretto, nonostante il reclamante abbia esercitato il suo diritto alla cancellazione e all’opposizione.

Il tema del diritto di accesso dell’interessato è peraltro stato inserito dal European Data Protection Board (EDPB) nella sua azione di Coordinated Enforcement Framework (CEF) per il 2024 e in questi giorni molte aziende stanno ricevendo il questionario dalle proprie Autorità Garanti Privacy.

 
 
Il caso

Il DPO della società colpita dal provvedimento lavorava solo tre giorni alla settimana ed era l’unica persona ad avere accesso a un particolare indirizzo di posta elettronica al quale erano state inviate richieste dall’Autorità belga per la protezione dei dati circa il mancato riscontro agli interessati.

Questa situazione ha portato a diverse criticità, tra cui:

Mancata cancellazione dei dati: Nonostante le richieste di cancellazione dei dati personali da parte degli interessati, l’azienda non è riuscita a soddisfare tali richieste nei tempi previsti.

Non considerazione delle opposizioni al marketing diretto: L’azienda ha continuato a inviare comunicazioni di marketing diretto nonostante la richiesta di opt – out dagli interessati.

 

DPO e Problemi di Gestione del Tempo

Una delle principali sfide affrontate dai DPO è la gestione del tempo, specialmente quando il ruolo è ricoperto a tempo parziale.

Il provvedimento evidenzia la necessità di allocare risorse sufficienti e garantire che il DPO disponga del tempo necessario per adempiere ai suoi compiti.

Infatti, l’articolo 38.2 del GDPR specifica che il Titolare del trattamento e il Responsabile del trattamento devono aiutare il DPO a svolgere i suoi compiti, fornendo le risorse necessarie e l’accesso ai dati personali e alle operazioni di trattamento.

Una cattiva gestione del tempo può portare a conflitti di priorità, compromettendo la capacità del DPO di svolgere efficacemente le sue missioni.

 

Obblighi di Conformità

Il DPO ha il compito di monitorare le attività di trattamento dei dati, gestire le richieste degli interessati e cooperare con le autorità di controllo sulla protezione dei dati.

Questi obblighi richiedono un’attenta pianificazione e allocazione del tempo per essere rispettati (art.39 GDPR).

 

Sovraccarico di Lavoro del DPO senza un Team di supporto

Un punto critico evidenziato riguarda il sovraccarico di lavoro dei DPO part-time.

Il provvedimento riporta casi specifici in cui un DPO part-time non è riuscito a gestire efficacemente le richieste a causa della sua eccessiva mole di lavoro.

Questa situazione è stata aggravata dalla mancanza di misure organizzative adeguate a garantire la conformità al GDPR e da un carente piano di lavoro per garantire che il DPO abbia il tempo necessario.

È stata quindi necessaria l’assunzione di un nuovo DPO a tempo pieno per risolvere tali problemi e migliorare la gestione delle richieste di cancellazione dei dati e altre comunicazioni importanti.

 

Integrazione del DPO

Il DPO dovrebbe essere coinvolto in tutte le questioni relative alla protezione dei dati sin dalla fase di progettazione (“privacy by design”).

Questo include la partecipazione ai gruppi di lavoro (Team) e la consultazione su progetti di trattamento dei dati.

 

Supporto Organizzativo

Il supporto organizzativo e l’accesso alle risorse sono cruciali.

È responsabilità del Titolare del trattamento garantire che il DPO abbia accesso alle informazioni necessarie e il supporto adeguato a svolgere le sue funzioni.

Le risorse allocate devono essere proporzionali alla complessità delle operazioni di trattamento dei dati dell’organizzazione (cfr. Linee guida sul DPO del EDPB- WP 243 rev. 01).

Se il titolare del trattamento nomina un DPO e utilizza un indirizzo e-mail generico come “privacy@xxx.be” per rispondere alle richieste degli interessati, è responsabilità del titolare del trattamento garantire che le e-mail inviate a tale indirizzo siano regolarmente consultate ed elaborate, anche in caso di dimissioni del DPO o se il carico di lavoro diventa eccessivo.

 

Il provvedimento ribadisce l’importanza del ruolo del DPO e la necessità di garantire che disponga del tempo e delle risorse adeguate per svolgere le sue funzioni in modo efficace.

Una gestione del tempo adeguata e un supporto organizzativo appropriato sono fondamentali per prevenire situazioni di sovraccarico e garantire la conformità alle normative sulla protezione dei dati.

Per la cronaca il caso si è chiuso con una sanzione amministrativa di poco più di 170.000 EUR, ridotta dopo aver tenuto conto delle condizioni economiche dell’azienda; prendendo come basi della sanzione la violazione degli articoli 5.1 – 5.2 – 17 – 21 del GDPR (ndr. accountability forever !!! ).

 

Cosa fare?

Assicurarsi che i DPO abbiano il tempo e le risorse necessarie è essenziale per mantenere la conformità al GDPR e proteggere i dati personali.

Le organizzazioni devono adottare misure proattive per supportare i DPO, riconoscendo la complessità e l’importanza del loro ruolo.

Invito le aziende a rivedere le proprie pratiche di supporto ai DPO e a considerare se stanno facendo abbastanza per garantire che questi professionisti possano svolgere il loro lavoro in modo efficace e senza sovraccarichi.

Solo così possiamo garantire una protezione dei dati adeguata e rispettare appieno le normative vigenti.

Follow us on
Our Gallery