Nel gennaio 2024 lo European Data Protection Board (EDPB) ha pubblicato il report riguardante “la designazione e la posizione dei Responsabili della protezione dei dati (Data Protection Officer – DPO)”, con l’obiettivo di valutare la coerenza delle attività affidate ai DPO dai titolari del trattamento ai sensi del GDPR.
L’evoluzione della figura e dei requisiti del Dpo
Il documento ha evidenziato diversi punti di non conformità nella designazione del Dpo e nella posizione di quest’ultimo all’interno dell’organizzazione, evidenziando che in molti casi si riscontra l’assenza di designazione del DPO nelle organizzazioni, anche quando è obbligatorio, e che, laddove presente, il DPO ha scarse risorse assegnate e insufficienti conoscenze specialistiche e livello di formazione.
Inoltre, il Report ha segnalato la parziale o incorretta enunciazione dei compiti previsti dal GDPR negli incarichi del DPO, conflitto di interessi e mancanza di indipendenza e, non ultimo, la mancanza di relazioni da parte del DPO al livello dirigenziale più alto dell’organizzazione.
Rispetto al 2016, anno in cui fu emanato il documento “Linee-Guida sui responsabili della protezione dei dati, l’evoluzione della figura del “privacy officer” – prevista dalle norme antecedenti al GDPR – in quella, più strutturata, del DPO, ha visto una grande evoluzione e, in relazione ad essa, nuovi requisiti di forma e di sostanza devono essere contemplati.
Il ruolo del DPO è noto come responsabile del monitoraggio della conformità dell’organizzazione titolare del trattamento alle previsioni del GDPR, con funzione di punto di contatto tra gli interessati e l’Autorità di Controllo competente (in Italia, il Garante per la Protezione dei Dati Personali). Particolare rilevo ha il requisito dell’indipendenza del DPO, garantita da ciascun titolare del trattamento anche nei casi in cui sia un soggetto interno, nominato con lettera di incarico ad hoc e l’assenza del conflitto di interessi e l’estensione dei compiti affidati dal titolare del trattamento al DPO.
Accanto a questi aspetti, immutati nel tempo, il forte sviluppo della responsabilità e dei compiti attribuiti al DPO trova fondamento nei requisiti del coinvolgimento “in tutte le questioni riguardanti la protezione dei dati”, che impongono che il DPO debba “i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso”.
In ciò risiede l’evoluzione della figura del DPO con impatto diretto sui requisiti della nomina e la competenza richiesta al DPO ai sensi di legge.
La figura del DPO nella relazione annuale 2023 dei Garanti Europei
Nell’aprile 2024 è stata, infatti, pubblicata la relazione annuale 2023 dei Garanti Europei “Safeguarding Individuals’ Digital Rights” che, offrendo una panoramica del lavoro svolto e riflettendo sulle importanti tappe raggiunte nella protezione dei dati personali dei cittadini europei, ha indicato chiaramente l’evoluzione dei requisiti di legge per la corretta attribuzione dell’incarico di DPO.
Oggi, il DPO è espressamente chiamato a conoscere in modo puntuale le norme che presiedono allo sviluppo tecnologico e allo spazio digitale, quali la legge sui mercati digitali (Digital Markets Act), la legge sui servizi digitali (Digital Services Act), il Data Governance Act (DGA) e la legge sull’intelligenza artificiale (AI Act).
Questi atti normativi, infatti, impongono responsabilità aggiuntive per i titolari del trattamento nell’applicazione delle norme di legge che devono essere valutate e interpretate anche secondo i principi del GDPR e secondo gli orientamenti e le decisioni dei Garanti Europei.
I principali requisiti del DPO nel 2024
Quindi, nell’attuale situazione, i principali requisiti del DPO possono essere così riassunti:
- conoscere il diritto dell’informatica e delle nuove tecnologie: il DPO deve conoscere le normative inerenti lo sviluppo digitale e comprendere le loro implicazioni sulla protezione dei dati. Il DPO deve essere in grado di applicare queste normative in un contesto pratico, individuando i punti focali per la propria organizzazione tutelandola da rischi legali e finanziari.
- Partecipare ai flussi informativi per guidare la conformità dell’organizzazione. Il DPO deve partecipare regolarmente alle riunioni dei vertici dell’organizzazione inerenti la governance, lo sviluppo informatico/tecnologico dell’organizzazione e l’introduzione presso i titolari del trattamento di nuove tecnologie digitali (quali l’intelligenza artificiale), visto l’ impatto diretto sulla protezione dei dati.
- Valutare e mitigare i rischi bilanciando le esigenze di business con la protezione dei dati. Il DPO è chiamato a trovare un equilibrio tra le esigenze di business e i requisiti di protezione dei dati, valutando le soluzioni che permettano all’organizzazione di operare efficacemente senza compromettere la tutela dei dati.
- Sovrintendere alla sicurezza dei dati: proteggere i dati personali da violazioni della sicurezza è una priorità. Il DPO deve lavorare con il team IT per garantire che siano implementate adeguate misure di sicurezza e per gestire eventuali incidenti di sicurezza in modo efficace.
- Gestire i rapporti con i fornitori: il DPO deve garantire che i fornitori del titolare rispettino gli stessi standard di protezione dei dati, sovrintendendo alla sottoscrizione dei contratti e al monitoraggio della conformità dei fornitori. In tale contesto, assume particolare rilevanza la conoscenza dei requisiti giuridici e informatici delle più innovative tecnologie di marketing e advertising online e offline.
- Gestire le eventuali richieste degli Interessati del Trattamento e comunicare con l’Autorità di Controllo. In caso di richieste degli Interessati del Trattamento e di violazioni della sicurezza dei dati o altre non conformità, il DPO deve comunicare con l’Autorità di controllo conoscendone modalità, regole e canali.
- Promuovere la cultura della protezione dei dati e il rispetto delle regole. Il DPO deve promuovere una cultura della protezione dei dati all’interno dell’organizzazione attraverso sessioni di formazione e campagne di sensibilizzazione. È fondamentale, infatti, che tutti i dipendenti siano in condizioni di comprendere l’importanza della protezione dei dati e le loro responsabilità ai fini della compliance e della corretta architettura di accountability.
Il futuro della figura del DPO alla luce delle nuove disposizioni legislative europee
L’approccio tradizionale alla designazione e alla posizione del DPO, in passato strettamente legato alla protezione dei dati e alla “privacy”, deve essere fortemente rivisto alla luce delle nuove disposizioni legislative europee che chiedono ai DPO sia di rendersi parte attiva nel processo di tutela dei diritti degli individui mediante profonda conoscenza della normativa del digitale.
Il ruolo del DPO è complesso e richiede competenze legali, tecniche e manageriali: solo così i titolari del trattamento potranno evitare sanzioni per non conformità, ridurre i rischi di violazioni dei dati e ottimizzare le operazioni di trattamento dei dati, proteggendo al contempo la reputazione e la fiducia degli stakeholder.
