Il Comitato europeo per la protezione dei dati ha pubblicato un copioso rapporto, ricco di grafici e percentuali, su un’indagine condotta da 25 autorità di protezione dei dati dell’UE e dello Spazio economico europeo riguardo al ruolo, la designazione e la posizione dei Responsabili della protezione dei dati (DPO) in Europa.
Sebbene i risultati complessivi siano positivi, il rapporto suggerisce che il ruolo e il riconoscimento dei DPO debbano essere rafforzati.
L’indagine, iniziata nel marzo 2023 e, parte del quadro di applicazione coordinata dell’EDPB[1], ha coinvolto un ampio campione, con 17.490 risposte complessive provenienti da organizzazioni (15.108 risposte) e dai DPO stessi (2.382 risposte). Le risposte hanno contribuito a delineare una serie di criticità e sfide rilevanti per il settore.
Aspetti positivi del ruolo del DPO: competenza ed esperienza elevate
Mentre come detto il quadro generale è positivo, con numerosi risultati incoraggianti, emergono tuttavia alcune aree in cui si rende necessario intervenire per rafforzare il ruolo dei DPO e garantire un’efficace implementazione delle normative sulla protezione dei dati.
I dati raccolti indicano che, nonostante si tratti di una professione relativamente giovane, la maggior parte dei DPO ha dimostrato di possedere un elevato livello di esperienza e competenza.
Molto positivo è il fatto che essi vengano regolarmente consultati su questioni di protezione dei dati all’interno delle proprie organizzazioni e che gli interessati possano facilmente contattarli direttamente. Tanto dimostra un notevole progresso nella consapevolezza e nell’implementazione delle normative sulla protezione dei dati. Nondimeno, nostante la maggior parte dei DPO intervistati abbia dichiarato di possedere le competenze e le conoscenze necessarie, di ricevere formazione regolare e di avere compiti chiaramente definiti in conformità con il GDPR, le incongruenza che sono emerse sono di un certo rilievo e meritano attenzione.
Il ischio di distorsioni nelle risposte: meno del 33% dei destinatari risponde
Non va trascurato il fatto, messo in risalto da Phil Lee, amministratore delegato di Digiphile, riguardo al potenziale rischio di distorsione nelle risposte ottenute. Nonostante siano state raggiunte oltre 60.000 persone, solo 17.490 hanno risposto, suggerendo che potrebbero essersi espressi principalmente coloro che avevano opinioni positive. Inoltre, la maggioranza delle risposte proveniva da organizzazioni piuttosto che dai Responsabili della protezione dei dati, il che potrebbe essere influenzato dalla volontà di presentare la conformità in modo ottimistico, considerando la possibilità di indagini formali basate sulle risposte.
L’espansione del ruolo del DPO, i rischi di sovraccarico, il problema dei conflitti di interesse
Entrando nel dettaglio delle criticità, emergono diverse questioni:
- Mancanza di designazione di un DPO: Nonostante l’obbligo, alcuni soggetti non hanno ancora designato un DPO, creando una lacuna nella conformità normativa.
- Risorse insufficienti o carenza di conoscenze specialistiche: Alcuni DPO segnalano carenze di risorse e/o di conoscenze specialistiche per affrontare al meglio le sfide imposte dalla delicata funzione. Interessante sullo specifico punto è il suggerimento che la stessa assenza di un vice DPO potrebbe essere indicativa di risorse insufficienti. Questo solleva la questione di una possibile distribuzione troppo sottile delle responsabilità del DPO, con implicazioni sulla conformità durante assenze o dimissioni. Non ultimo si aggiunge anche il gap di coinvolgimento sistematico all’interno delle organizzazioni e l’assenza di agevole accesso ai massimi dirigenti (l’articolo 38, paragrafo 3, del GDPR impone ai DPO di riferire al più alto livello dirigenziale dell’organizzazione).
Il rapporto sottolinea che il ruolo dei DPO sta cambiando, in particolare a fronte delle nuove normative digitali proposte dall’UE, tra cui il Digital Services Act, il Digital Markets Act e l’imminente Artificial Intelligence Act. Queste leggi ampliano le responsabilità dei responsabili della protezione dei dati e rendono cruciale considerare come vengono incaricati, utilizzati e supportati per garantire il massimo valore aggiunto per tutte le parti coinvolte.
ll rapporto descrive il rischio di sovraccarico per i DPO e la conseguente espansione della funzione, utilizzando espressamente il termine “burnout”.
- Compiti dei DPO non chiaramente definiti: Vi sono segnalazioni di mancanza di specifici incarichi per i DPO relativi ai compiti richiesti dalla legislazione sulla protezione dei dati (l’articolo 39 del GDPR stabilisce una serie di compiti che devono essere svolti da un Responsabile della protezione dei dati), generando incertezza nei loro ruoli. Il rapporto mette in luce anche una certa mancanza di fiducia nei compiti richiesti dal GDPR. Questo suggerisce che alcune organizzazioni potrebbero non comprendere appieno il ruolo e le responsabilità dei DPO come stabilito dalle normative europee sulla protezione dei dati. Tale mancanza di comprensione può portare a una designazione inadeguata dei compiti, sollevando interrogativi sull’indipendenza dei DPO e potenziali conflitti di interesse.
È emblematico il fatto che molti DPO abbiano evidenziato il ruolo fondamentale assunto dagli stessi nella completa redazione delle Valutazioni d’Impatto sulla Protezione dei Dati (DPIA), piuttosto che fornire solo consulenza. Tanto si pone ad ulteriore supporto delle validità delle preoccupazioni già emerse sui possibili conflitti di interesse, poiché il DPO, coinvolto direttamente nella valutazione delle proprie attività, potenzialmente compromette la sua indipendenza. A ciò si aggiunge anche la circostanza per cui molti DPO interni vengono scelti tra i dirigenti già operativi a livelli di gestione elevati, come CEO, CFO o capo dipartimento, creando chiari problemi di conflitto di interesse. Proprio la mancanza di procedure sui conflitti di interesse è stata evidenziata come una delle maggiori preoccupazioni, suggerendo che le organizzazioni dovrebbero considerare come prioritaria la formulazione di politiche specifiche per gestire situazioni di potenziale conflitto.
In un contesto in cui la gestione e la tutela dei dati personali diventano sempre più centrali, tra tutte è emersa in modo particolare una questione critica riguardante il tema dell’incompatibilità del DPO: in una situazione specifica esaminata all’interno del CEF, si è evidenziato un potenziale conflitto di interessi in cui un DPO esterno ha agito sia come DPO del titolare del trattamento che del responsabile del trattamento. La complessità di questa dualità risiede nel fatto che il titolare del trattamento è obbligato a monitorare il responsabile del trattamento, come specificato negli articoli 28, paragrafo 1, e 28(3)(h) del GDPR.
Il problema sorge, per quanto ovvio, quando il DPO, incaricato di monitorare contemporaneamente sia il titolare che il responsabile del trattamento, si trova in una situazione di conflitto di interessi. Questo perché le diverse responsabilità e interessi tra il titolare e il responsabile possono indebolire l’adempimento delle obbligazioni del DPO, compromettendo così il suo ruolo chiave nell’assicurare la conformità alle normative sulla protezione dei dati.
Le conclusioni tratte da questa situazione sono particolarmente problematiche, a maggior ragione poiché la Corte di Giustizia dell’Unione Europea (CGUE) ha recentemente sottolineato l’importanza di preservare l’indipendenza funzionale del DPO. Secondo la CGUE, l’articolo 38, paragrafo 6, del GDPR mira infatti a “preservare l’indipendenza funzionale del DPO e, di conseguenza, garantire l’efficacia delle disposizioni del GDPR.”
Muovendo da un’altra prospettiva, Natalija Bitiukova, Global Data Privacy Lead di IKEA Retail (Ingka Group) ha sottolineato l’importanza di coinvolgere attivamente i DPO di diversi settori, dimensioni e strutture di governance nello sviluppo di linee guida. La proposta di una libreria di modelli personalizzabili è stata avanzata dalla stessa come un modo pratico per migliorare la comprensione del ruolo dei DPO e fornire alle aziende strumenti adeguati per rispondere alle esigenze specifiche; specialmente alla luce dei problemi sistematici identificati nel rapporto dell’EDPB, come la mancanza di una descrizione del ruolo del DPO o di relazioni annuali.
- Mancanza di indipendenza o di reporting ai vertici aziendali: Alcuni DPO lamentano una lacuna di indipendenza o di canali di reporting efficaci ai vertici aziendali, che ostacola il pieno esercizio delle loro responsabilità.
Raccomandazioni cruciali per affrontare le sfide
Per affrontare queste sfide, il rapporto delinea sette raccomandazioni cruciali:
Aumentare le risorse
È essenziale incrementare le risorse assegnate ai DPO, non solo in termini di budget ma anche di tempo, per consentire loro di adempiere efficacemente ai loro compiti.
Migliorare la formazione
Data la rapida evoluzione normativa, il rapporto raccomanda un potenziamento della formazione per i DPO, garantendo opportunità di aggiornamento continuo. L’EDPB pensa all’uso di meccanismi di certificazione e alla cooperazione con università e corsi di formazione “guidati dal mercato”.
Promuovere maggiore indipendenza
Si sottolinea la necessità di garantire un’adeguata indipendenza per i DPO, consentendo loro di svolgere le proprie funzioni senza interferenze.
Affrontare la mancanza di designazione di un DPO
È fondamentale affrontare la persistente mancanza di designazione di un DPO in alcune organizzazioni, garantendo la conformità normativa.
Sostenere l’aggiornamento delle conoscenze
Il rapporto sottolinea l’importanza di sostenere gli sforzi dei DPO nell’aggiornare le proprie conoscenze, specialmente in relazione a nuove normative e sviluppi nel campo della protezione dei dati.
Affrontare conflitti di interesse
È cruciale affrontare e prevenire i conflitti di interesse che potrebbero compromettere l’indipendenza e l’efficacia dei DPO nel svolgere i propri compiti.
Fornire ulteriori Indicazioni
Il rapporto consiglia alle Autorità di protezione dei dati di fornire ulteriori indicazioni e orientamenti per chiarire e migliorare la comprensione del ruolo e delle responsabilità del DPO secondo il GDPR.
Tutte raccomandazioni che, evidentemente, mirano a rafforzare l’indipendenza dei DPO e garantire che dispongano delle risorse necessarie per svolgere i loro compiti, promuovendo al contempo la conformità e l’efficacia nell’ambito della protezione dei dati.
Il presidente dell’EDPB, Anu Talus ha, non a caso, sottolineato l’importanza dei DPO nel rispetto delle leggi sulla protezione dei dati e nel garantire una protezione efficace dei diritti degli interessati.
L’intento è appunto quello di partire dall’analisi dei progressi compiuti per proseguire con azioni di follow-up mirate a livello nazionale e dell’UE.
Da qui l’impegno, assunto dalla maggior parte delle Autorità coinvolte, relativamente alla diffusione di ulteriori indicazioni in materia di DPO per migliorare e rafforzare la posizione e l’efficacia dei Responsabili della protezione dei dati in Europa.
In modo particolare alcune Autorità privacy stanno giocando un ruolo cruciale nell’offrire supporto, orientamento e formazione ai DPO: una varietà di risorse è stata resa disponibile attraverso linee guida specifiche, FAQ online e documenti informativi su siti web dedicati. Tra queste l’Autorità irlandese di protezione dei dati, la Belgian data protection authority, la Croatian personal data protection agency.
Allo stesso modo in ambito networking si registrano diverse conferenze, seminari e corsi di formazione per i DPO.
Inoltre, alcune Autorità stanno promuovendo la certificazione delle competenze del DPO, offrendo vantaggi specifici ai titolari di questa certificazione.
Nella medesima scia di azioni si potrebbe inserire anche lo sviluppo e la condivisione di una libreria di modelli personalizzabili, come suggerito da esperti del settore come Natalija Bitiukova di IKEA: tanto potrebbe rappresentare un passo significativo per fornire strumenti pratici alle organizzazioni nell’affrontare le sfide evidenziate nel rapporto.
Sanzioni e poteri correttivi contro le violazioni degli obblighi sui DPO
Senza dimenticare inoltre che le Autorità di protezione dei dati hanno a disposizione una serie di poteri ai sensi dell’articolo 58 del GDPR per far rispettare gli obblighi relativi ai Responsabili della protezione dei dati. Questi poteri includono richiami, ordini di conformarsi e, in casi di gravi violazioni, sanzioni pecuniarie.
Come noto, secondo l’articolo 83, paragrafo 4, del GDPR, se un titolare del trattamento o un responsabile del trattamento non dovesse adempiere ai propri obblighi in conformità agli articoli da 37 a 39 del GDPR, potrebbero essere soggetti a sanzioni amministrative fino a 10.000.000 di euro o, nel caso di un’impresa, fino al 2% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia il più elevato.
Il rapporto dell’EDPB non omette di indicare in tale contesto, come diverse Autorotà di protezione dei dati abbiano intrapreso azioni significative per far rispettare i requisiti dei DPO prima dell’azione del Quadro di Applicazione Coordinata (CEF) dell’EDPB. A partire dalle indagini in corso fino ai correttivi e alle sanzioni amministrative già emesse, incluse le procedure di infrazione contro enti pubblici per la mancata designazione del DPO. Durante l’azione del CEF, almeno dieci Autorità privacy hanno avviato o stanno pianificando nuove indagini formali.
La necessità di intensificare gli sforzi per rafforzare il ruolo dei DPO
Nonostante le sfide e le preoccupazioni emerse durante l’indagine, i risultati presentati offrono uno sguardo incoraggiante sullo stato attuale della designazione e del ruolo dei Responsabili della protezione dei dati nell’Unione Europea. Ciononostante, tale prospettiva positiva non fa che sottolineare la necessità di intensificare gli sforzi per rafforzare il ruolo e il riconoscimento dei DPO, ribadendo l’importanza di promuovere attivamente la consapevolezza del loro contributo cruciale.
L’evoluzione delle Linee guida sui responsabili della protezione dei dati da parte dell’European Data Protection Board (EDPB) potrebbe anch’essa influenzare gli sviluppi futuri.
In un contesto in cui molte legislazioni dell’UE nel campo digitale stanno prendendo forma, la funzione dei DPO amplifica la propria importanza imponendo a tutti i livelli una riflessione approfondita su come i DPO vengono designati, impiegati e supportati per garantire il massimo valore aggiunto a tutte le parti coinvolte e per mitigare i rischi di conflitti di interessi e carenze di risorse.
Il rapporto multidisciplinare tra i reciproci obblighi di governance e i Responsabili della protezione dei dati costituisce, senza alcun dubbio, una parte cruciale delle dinamiche delle organizzazioni nell’Unione Europea.
Al di là delle risultanze del rapporto è evidente, infatti, come si renda necessario procedere nella trasformazione della mentalità aziendale per rispondere in modo efficace alle mutevoli esigenze di protezione dei dati, ridefinendo il concetto stesso di privacy e attribuendo nuovi significati e importanza al ruolo del DPO.
Tanto il regime che regola il DPO quanto il modo in cui la sua funzione influisce sulla governance delle organizzazioni sono fattori essenziali per comprendere appieno l’influenza che questo professionista può avere sui processi decisionali orientando direttamente o indirettamente le decisioni strategiche in termini di allocazione di risorse limitate, di capitale e di risorse umane.
Storicamente, in ambito privato, lo scopo della corporate governance era quello di tutelare gli interessi degli investitori; tuttavia, il focus verso la tutela degli interessi di tutte le parti coinvolte riflette proprio il fatto che la funzione del DPO influenzerà inevitabilmente questa dinamica.
La necessità di responsabilizzare le imprese e investire nei sistemi di responsabilità e competenze per garantire la sostenibilità aziendale è dunque una priorità assoluta.
Nel contesto della protezione dei dati, i concetti fondamentali di responsabilità e accountability si ergono come pilastri essenziali, delineando altresì i requisiti principali associati alla figura dei DPO conforme al GDPR del 2016.
Sebbene la responsabilità specifica del DPO, rimanga una questione aperta e possa sembrare circoscritta, la sua influenza sulle decisioni di governance è tangibile e rappresenta un delicato equilibrio tra la sua posizione formale e l’impegno personale per garantire il rispetto dei principi di protezione dei dati. In tal senso il principio di indipendenza presiede sulla capacità dei DPO di eseguire tali compiti in modo autonomo. Implementare tale indipendenza nella cultura aziendale si rivela una sfida complessa, complicata dalla possibilità che il DPO svolga ulteriori compiti e abbia altri obblighi contrattuali, sottolineando la necessità di una riflessione approfondita e di soluzioni adatte per consentire ai DPO di adempiere efficacemente alla propria funzione.
Conclusioni
La collaborazione tra autorità, organizzazioni e DPO stessi è essenziale per plasmare un futuro in cui la protezione dei dati è una priorità indiscussa, garantendo la sostenibilità aziendale e il rispetto degli interessi di tutte le parti.
Note
[1]Il quadro di applicazione coordinata (CEF, Coordinated Enforcement Framework) dell’EDPB è una strategia che mira a semplificare e coordinare l’applicazione delle normative sulla protezione dei dati in tutta l’Unione Europea (UE).
Il CEF è progettato per affrontare le sfide derivanti dalla diversità delle leggi sulla protezione dei dati negli Stati membri e per garantire una maggiore coerenza nell’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) in tutta l’UE. Tra gli obiettivi chiave del CEF vi sono:
Coordinamento delle Attività di Applicazione: Il quadro mira a coordinare le azioni di applicazione delle normative sulla protezione dei dati tra le DPA, facilitando uno scambio più rapido e informato di informazioni e pratiche migliori.
Miglioramento della Coerenza: L’obiettivo è garantire una maggiore coerenza nelle decisioni e nelle pratiche di applicazione delle normative sulla protezione dei dati tra gli Stati membri.
Semplificazione delle Procedure: Il CEF cerca di semplificare le procedure di applicazione, incoraggiando le DPA a utilizzare strumenti e approcci comuni per affrontare violazioni delle normative sulla protezione dei dati.
Aumento della Consapevolezza e dell’Allineamento: Promuovere la consapevolezza delle normative sulla protezione dei dati e garantire un allineamento più stretto tra le DPA per favorire una maggiore efficienza.
L’EDPB, insieme alle DPA degli Stati membri, collabora attivamente nell’attuazione di questo quadro di applicazione coordinata. Il CEF si basa su attività come scambi di informazioni, consulenze reciproche e azioni coordinate in risposta a violazioni della protezione dei dati.
È importante sottolineare che il CEF non è un’iniziativa statica, ma, almeno nelle intenzioni dei suoi promotori, un processo in evoluzione in cui le autorità di protezione dei dati dovranno lavorare continuamente insieme per migliorare l’applicazione coerente e efficace delle normative sulla protezione dei dati nell’intera UE.