Dall’autorità Garante norvegese importanti indicazioni sugli adempimenti documentali correlati alla nomina del Data Protection Officer (procedure interne e policy a garanzia della conformità).

Nell’articolo di oggi, partendo da questo caso, rispondiamo ad alcuni frequenti interrogativi: quando è obbligatorio il documento motivante le scelte relative alla nomina del DPO? cosa inserire nel conferimento dell’incarico? come formalizzare il coinvolgimento del DPO? come dimostrare l’indipendenza e l’assenza di conflitti di interesse?

IL CASO

Al termine di un’indagine transnazionale che ha coinvolto diverse Autorità di controllo europee in materia di protezione dei dati personali, l’Autorità Garante norvegese (il “Datatilsynet”) ha sanzionato la società “Telenor ASA”, a capo di un gruppo di imprese, per un importo pari a quasi 350.000 euro. Fra le violazioni rilevate: non aver implementato adeguate policy interne che assicurassero l’indipendenza del Data Protection Officer, l’assenza di conflitti di interesse ed il rapporto diretto con i vertici dell’organizzazione.

Il caso ricorda a tutte le realtà, enti ed imprese, che la nomina del DPO:

1. non deve considerarsi un mero adempimento formale;
2. non è sufficiente a dimostrare la conformità;
3. deve abbinarsi alla predisposizione di documentazione specifica. Di quali documenti parliamo?

In merito alla nomina del DPO: il documento motivante

In primo luogo, l’Autorità norvegese ha rilevato la mancanza del documento di “assessment interno”, ovvero di una valutazione formalizzata e ben argomentata che chiarisse le ragioni in base alla decisione della società di nominare o meno un Data Protection Officer.

Tale documentazione, ha chiarito l’autorità, è necessaria per poter dimostrare che è stata effettuata una valutazione autentica, in cui sono stati presi in considerazione tutti i fattori rilevanti, in conformità con il principio di responsabilizzazione di cui all’articolo 24 del GDPR. La valutazione effettuata, peraltro, dovrebbe essere aggiornata ove necessario, per esempio in caso di implementazione di nuove attività o nuovi servizi.

Telenor ASA non ha documentato la valutazione e, pertanto, ha violato l’articolo 24 del GDPR.

In merito al coinvolgimento del DPO: le procedure da adottare

Ai sensi dell’articolo 38, paragrafo 1, del GDPR, il DPO deve essere coinvolto “adeguatamente” e “tempestivamente” in tutte le questioni relative alla protezione dei dati. Tali requisiti, chiarisce il Datatilsynet, richiedono una valutazione di proporzionalità, poiché ciò che è “adeguato” e “tempestivo” varia a seconda della complessità e della natura delle questioni relative alla protezione dei dati da affrontare.

I titolari del trattamento sono quindi tenuti ad adottare misure organizzative adeguate, ad esempio procedure interne, per garantire che il coinvolgimento del DPO soddisfi i requisiti dell’articolo 38, paragrafo 1, del GDPR. Senza alcuna forma di procedura standard interna documentata, sarà difficile per il personale e gli stakeholders coinvolti valutare cosa sia “adeguato” e “tempestivo” in ogni situazione.

Durante le indagini, il Datatilsynet non ha ricevuto da Telenor ASA alcuna procedura scritta né altre politiche standard specifiche relative ai tempi e alle modalità di coinvolgimento del DPO. A causa della natura informale del coinvolgimento, è difficile stabilire con esattezza in che misura il DPO di Telenor ASA sia stato effettivamente coinvolto in “tutte le questioni relative alla protezione dei dati personali”.

In merito al rapporto con i vertici dell’organizzazione: formalizzare la linea gerarchica

Il DPO deve riferire direttamente al “massimo livello dirigenziale” e l’organizzazione deve essere in grado di dimostrare che sia effettivamente così. Ciò che è considerato il livello dirigenziale più alto dipenderà dalla forma societaria e dalla struttura organizzativa in ciascun caso specifico. Quindi, poiché il concetto di “massimo livello dirigenziale” varia caso per caso, è essenziale disporre di una linea gerarchica chiara e documentata in cui formalizzare a chi il DPO deve riferire e in che modo. Il Datatilsynet richiede di illustrare la linea gerarchica del DPO in documenti interni (quali politiche, procedure, istruzioni, descrizioni delle mansioni, etc.).

In merito all’indipendenza e all’assenza di conflitti di interesse: l’atto di nomina

L’articolo 38, paragrafo 3, del GDPR stabilisce che il titolare del trattamento deve garantire che il DPO non riceva alcuna istruzione in merito all’esercizio delle sue funzioni. Il riferimento all’indipendenza del DPO nelle policy e in documenti interni all’organizzazione, però, non è di per sé sufficiente a garantire il rispetto di questa disposizione: occorre valutare se vi siano situazioni che possano indebolire la posizione del DPO e se gli altri compiti che il DPO è chiamato a svolgere comportino la promozione di interessi in conflitto con i requisiti del GDPR.

Nel caso in esame, le misure organizzative messe in atto da Telenor ASA non garantivano una chiara distinzione tra i compiti svolti in qualità di DPO e quelli svolti in qualità di avvocato associato. Inoltre, nel corso dell’ispezione è emerso che tutti i DPO del gruppo Telenor, compreso il DPO di Telenor ASA, possedevano azioni della società.

Il Datatilsynet ha chiarito che, quando il DPO è membro del team legale, è di fondamentale importanza garantire che gli vengano assegnati solo compiti o mansioni compatibili e che sia chiara, a tutti gli stakeholders, la ripartizione delle funzioni. A tal fine, un elemento cardine per evitare conflitti di interessi è assicurarsi che l’atto di nomina del DPO sia sufficientemente preciso e dettagliato.

La decisione finale

Nel comminare una sanzione pecuniaria pari a 350.000 euro a Telenor ASA, il Datatilsynet ha tenuto conto del fatturato dell’intero Gruppo Telenor come unità economica unica e impresa rilevante ai fini del calcolo dell’ammenda.

La sanzione può risultare particolarmente elevata se consideriamo il fatto che non è stato individuato alcun danno specifico alla privacy degli interessati. A questo riguardo, il Datatilsynet ha chiarito che gli effetti della sanzione comminata, e delle sanzioni privacy in generale, dovrebbero generare una pressione sufficiente a rendere la non conformità alle norme economicamente poco attraente.

Cosa occorre in sintesi?

In conclusione, riassumiamo la documentazione che deve necessariamente essere prodotta per dimostrare la conformità agli obblighi correlati alla nomina del DPO.

In primo luogo, è sempre necessario effettuare:

• una valutazione interna documentata circa l’obbligo di nominare un DPO (salvo i casi di realtà molto semplici in cui è evidente la non applicazione dell’articolo 37, par. 1, del GDPR).

Qualora si accerti che l’organizzazione sia tenuta a nominare un DPO, è essenziale adottare misure organizzative e politiche interne appropriate, tra cui:

• una descrizione della linea di riporto verso il livello dirigenziale più elevato,
• una definizione chiara delle attività in cui il DPO deve essere coinvolto, del modo e dei tempi di tale coinvolgimento,
• delle valutazioni documentate per garantire l’indipendenza del DPO e l’assenza di conflitti di interessi (es. distinzione dai ruoli eventualmente ricoperti nella stessa azienda, indirizzo e-mail separato, verifica di eventuali incompatibilità, verifica di partecipazioni azionarie del DPO, etc.).

Se hai bisogno di supporto per verificare, elaborare o aggiornare i documenti citati dall’autorità, ti invitiamo a rivolgerti al nostro team di consulenti.