privacy

Il ruolo del DPO tra teoria e pratica: le indicazioni del Garante italiano e dell’EDPB

Home Sicurezza digitale Privacy
Indirizzo copiato

Un recente report dell’EDPB e i commenti del Garante italiano evidenziano criticità nella figura del DPO in Italia, tra conflitti di interesse, mancanza di risorse e preparazione inadeguata. Si propone un miglioramento tramite formazione, revisione delle linee guida e maggiore supporto, mirando a rafforzare l’indipendenza e l’efficacia del DPO nel rispetto del GDPR

Pubblicato il 4 mar 2024
Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

dpo formazione

Il Comitato europeo per la Protezione dei Dati  (EDPB) ha di recente pubblicato un report generato da una azione coordinata di rafforzamento posta in essere a livello EU al fine di mettere in chiaro e di comprendere come viene interpreta nel territorio dell’Unione la figura del Data Protection Officer (DPO) e quali ne siano gli eventuali profili di criticità.

DPO: compiti e tormenti di una figura centrale del GDPR

Proviamo allora ad analizzare i commenti del Garante nazionale al report, raccolti in un contributo, che ne costituisce (al pari di quelli analoghi delle altre Autorità di Regolazione) una preziosa appendice.

Il Garante italiano ha identificato alcuni punti rilevanti, corrispondenti ad altrettante criticità, alle quali, nell’ottica di migliorare la situazione dei DPO italiani, e per conseguenza il livello di compliance al GDPR, è bene porre attenzione; andiamoli ad esaminare.

La designazione del DPO e i potenziali conflitti di interesse

Soprattutto con riferimento al settore pubblico, è emerso che una percentuale di un certo rilievo (poco più del 9%) dei DPO proviene dai ruoli apicali del management.

Per altro verso, il 43% dei DPO operano a favore di gruppi di società/entità.

Queste due situazioni possono generare facilmente dei conflitti di interesse poiché è intuitivo che chi è coinvolto ad altissimo livello nella progettazione ed attuazione dei trattamenti dei dati, difficilmente potrà conservare l’atteggiamento indipendente ed imparziale richiesto al DPO nell’esercizio delle sue funzioni.

Analogamente, chi opera come DPO per più soggetti appartenenti ad un medesimo gruppo potrà facilmente trovarsi di volta in volta in tale situazione con riferimento ad almeno 2 di essi (si pensi alla holding e ad una operativa).

Ma vi è di più, poiché la designazione di un singolo DPO per molti soggetti può mettere a repentaglio l’obbligo che esso ha di dedicare la necessaria energia e le necessarie risorse ad ogni singolo soggetto del gruppo.

Infine, spesso i dati di contatto del DPO designato per più soggetti sono pubblicati dal solo soggetto capogruppo, e ciò costituisce una violazione evidente dell’obbligo in capo ad ogni titolare/responsabile del trattamento di pubblicare tali dati.

Il Garante si è impegnato a stimolare una migliore qualità del training e delle procedure, a rivedere le linee guida sul DPO, e ad iniziare procedimenti nei confronti dei titolari del trattamento finalizzati alla imposizione di misure correttive e suggerimenti per migliorare la situazione in questo ambito.

La preparazione e l’esperienza del DPO

Sotto questo profilo, la situazione appare differente nel settore pubblico ed in quello privato.

Nel settore pubblico è comune una mancanza di preparazione nell’ambito della protezione dei dati, mentre appare più approfondita la preparazione in ambito giuridico.

Al contrario, nel settore privato è piuttosto comune una variegata ed ampia gamma di esperienze e culture specifiche, sia in ambito giuridico, sia in ambito tech.

Appare dunque chiara una certa differenza della situzione tra il settore pubblico e quello privato; e con riferimento al primo, il rischio di vanificare l’utilità del DPO in sé stessa, a causa della scarsa preparazione di chi esercita tale funzione, è assai elevato.

Anche in questo ambito, il Garante nazionale si è impegnato ad aumentare le occasioni di studio e di training, a rivedere le linee guida ed a lanciare una campagna di procedimenti nei confronti dei titolari del trattamento al fine di imporre misure correttive e di dare suggerimenti.

Gli scopi del DPO e le risorse a disposizione

Anche in questo ambito è necessario fare discorsi ad hoc per il settore pubblico e per il settore privato.

Settore pubblico

Il management di frequente non definisce per iscritto le finalità ed i doveri del DPO; analogamente il DPO spesso svolge funzioni e compiti addizionali rispetto a quanto istituzionalmente di sua competenza, mentre questi ultimi vengono posti in secondo piano, in alcuni casi dedicandovi non più del 5% del tempo dedicato al lavoro.

In tutti i casi o quasi, le risorse sono considerate insufficienti, non esiste uno staff dedicato né un vice DPO istituzionalmente nominato.

Settore privato

  • In alcuni casi (poco meno del 50%) i DPO hanno dichiarato di avere a disposizione tempo, staff e risorse insufficienti;
  • in particolare, hanno lamentato l’impatto negativo, in termini di tempo dedicato e di qualità del lavoro, delle finalità addizionali assegnate loro;
  • è interessante osservare che circa il 50% dei DPO ha lamentato l’assenza di autonomia nella gestione del budget loro assegnato;
  • infine, la larga maggioranza dei DPO ha lamentato la mancata nomina di un vice in grado di affiancarli o sostituirli efficacemente.

In entrambi i settori, la situazione più grave è certamente rinvenibile nella consuetudine di assegnare ai DPO doveri e compiti addizionali; poiché questa abitudine può generare violazioni del GDPR in termini di scarsa efficienza, scarsa indipendenza e conflitti di interesse.

Anche sotto questo profilo, il Garante nazionale si è impegnato ad aumentare le occasioni di training, a rivedere procedure e best practices, ed a lanciare una campagna di procedimenti finalizzati alla irrogazione di sanzioni e alla messa a punto di raccomandazioni nei confronti dei soggetti coinvolti.

Il ruolo e la posizione del DPO

Anche questo profilo vede differenziarsi il settore pubblico da quello privato.

Settore pubblico

Permangono casi, nei quali il DPO non viene consultato in relazione alle questioni relative alla protezione dei dati e non riceve informazioni sufficienti con riferimento alle questioni più rilevanti; è inoltre prassi comune che il DPO non faccia rapporto ai più alti livelli del management.

E’ altresì piuttosto frequente che i dati di contatto del DPO siano pubblicati nel sito web ma non nella privacy policy, come invece dovrebbe sempre essere fatto.

Settore privato

Mentre il coinvolgimento del DPO nelle questioni rilevanti il trattamento de dati appare importante, come nel settore pubblico, è raro che esso faccia riferimento ai livelli apicali del management.

In entrambi i settori, sono numerosi i casi nei quali il Controller non da atto per iscritto delle ragioni in forza delle quali ha apertamente ignorato le osservazioni del DPO.

Le situazioni appena descritte possono inficiare nella sostanza l’intrinseca utilità del DPO.

Ciò è in grado di porre nel nulla l’idea stessa di privacy by design e by default, riflettendosi negativamente sulla accountability del controller e sul grado di adempimento al GDPR da parte del medesimo.

Su un punto le dinamiche dei due settori appaiono comuni: in entrambi il DPO è frequentemente inibito nel relazionarsi e ne riportare con/al top management.

Il Garante nazionale si è impegnato, anche in questo specifico ambito, ad intraprendere iniziative analoghe a quelle specificate sopra con riferimenti alle altre problematiche analizzate.

Il contributo delle autorità di regolazione e del Garante nazionale

I DPO ed i controller Italiani che hanno risposto al questionario del EDPB oggetto dei commenti del Garante nazionale qui descritti hanno evidenziato il desiderio di potersi avvalere nella loro attività di FAQs, tools on line, linee guida, materiale per l’approfondimento delle tematiche sensibili e per l’addestramento del personale interno (sia dello stesso staff del DPO, sia dello staff del controller).

È stato anche sollecitato lo sviluppo di un database comune a livello EU che consenta di accedere ai contributi dei vari Garanti nazionali e del EDPB sul DPO e le attività ad esso assegnate dalle norme.

È stato chiesto, in altre parole, di offrire un database che metta a disposizione in modo strutturato linee guida, best practices, opinions, e decisioni sui temi cui i DPO devono dedicarsi.

A questa sollecitazione il Garante nazionale aveva in parte risposto a priori pubblicando prima del report EDPB le FAQs concernenti il RPD (Responsabile della Protezione dei Dati) rispettivamente in ambito privato ed in ambito pubblico (23 marzo 2018 e 15 dicembre 2017).

Nel recente passato, il Garante nazionale ha inoltre pubblicato il Documento di indirizzo su designazione, posizione e requisiti del Responsabile della Protezione dei Dati in ambito pubblico (29 aprile 2021).

Oltre a ciò, sempre nel recente passato, il Garante ha reso una serie di decisioni (elencate nel report) in esito a procedimenti aperti nei confronti di svariati controllers.

È verosimile che nel prossimo futuro, alla luce degli approfondimenti recenti, il Garante nazionale aumenterà la pressione sui controllers al fine di verificarne il livello di consapevolezza e di compliance rispetto alla figura del DPO e delle tematiche correlate.

I dubbi che il reort EDPB non riesce a sciogliere

Il report del EDPB si conclude con un passaggio che esprime una, seppur sommessa, soddisfazione per il grado di consapevolezza dei controller rispetto alle tematiche sottese e correlate alla figura del DPO, così come al grado di compliance dei medesimi controllers rispetto alle norme che disegnano caratteristiche, compiti e doveri del DPO.

Su queste pagine, in passato, ho espresso le mie perplessità in ordine all’assetto normativo e sul tenore del medesimo, anticipando quelle che secondo me sarebbero state le aree di maggiore criticità della normativa (cfr. DPO: compiti e tormenti di una figura centrale del GDPR); e devo dire che la lettura del report del EDP e della relazione del garante nazionale che lo correda non mi ha fatto cambiare idea, anzi: non condivido l’ottimismo dell’EDPB; e non lo condivido perché le criticità portate alla luce dalla relazione del Garante qui analizzata e prima ancora dal report dell’EDPB oggetto del pregevole lavoro di Alessandro Longo, le hanno confermate.

Essere indipendenti ed al riparo dai conflitti di interesse se si è pagati dal soggetto che si deve “sorvegliare ed addestrare” è pressoché impossibile.

E lo è ancora di più se si proviene dai livelli apicali del suo management e/o se non si dispone di risorse e budget adeguati, spesso anche sottratti alla propria autorità/controllo e/o se si è costretti ad occuparsi di altro per un verso e/o di interi gruppi di società per altro verso.

Se a questo si aggiunge che per fare bene il DPO è necessario essere molto addentro ad innumerevoli tematiche tecniche, così come in possesso di una profonda ed articolata cultura giuridica; si comprende che, allora, per fare bene il DPO, prendendosi le correlate enormi responsabilità nei confronti del Garante da un lato e del controller dall’altro lato, è necessario essere pagati molto, molto bene: ma le risorse e la volontà di fare questo sistematicamente per così dire “by design e by default”, semplicemente non esistono.

Conclusioni

Dal mio punto di vista, l’unico modo per risolvere le problematiche legate alla figura del DPO, così come attualmente normata, risiede proprio nel rivedere le norme di riferimento emendandole dagli elementi che, come ho osservato in passato, rendono il DPO qualcosa di assimilabile a creature mitologiche come il grifone o il centauro.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scenari

    IA, privacy a rischio? Come tutelarla, le strategie UE e USA

    23 Gen 2024

    di Filippo Benone, Anna Cataleta e Aurelia Losavio

    Condividi

Prossimo

IA, privacy a rischio? Come tutelarla, le strategie UE e USA

Articolo 1 di 2