Torniamo a parlare del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD), dopo aver affrontato una serie di profili utili a comprenderne i contorni e il ruolo.
Abbiamo infatti già affrontato il tema dell’obbligatorietà e dell’opportunità di nominare un DPO, così come quello delle competenze che deve possedere e anche dell’indipendenza del DPO nominato all’interno dell’organizzazione.
Prendendo spunto da un provvedimento emanato dal Garante per la protezione dei dati personali (n. 372 del 10 novembre 2022, doc. web n. 9843603), trattiamo oggi il tema del ruolo e della posizione del DPO da una prospettiva diversa.
Tenuto conto dei contenuti del Considerando 97, nonché degli artt. 37-39 del GDPR, cosa non deve fare il titolare del trattamento nei rapporti con il DPO?
La lettura del provvedimento e del Regolamento UE 2016/679 ci fornisce alcuni suggerimenti preziosi:
- il titolare non può nascondere al DPO notizie, progetti e questioni che coinvolgono (anche) il trattamento di dati personali: il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (art. 38, comma 1 GDPR);
- il titolare non può richiedere al DPO di svolgere il suo incarico senza le più adeguate risorse finanziarie, “temporali” e strutturali (sede, attrezzature, strumentazione) oltre che, ove opportuno, personale di supporto il DPO deve essere sostenuto dal titolare con le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica (art. 38, comma 2 e Considerando 97 GDPR);
- il titolare non può fornire istruzioni sull’approccio da seguire in uno specifico trattamento, sul come condurre gli accertamenti su un reclamo, sul valutare se consultare o meno l’autorità di controllo o sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati: il DPO non deve ricevere alcuna istruzione (art. 38, comma 3 e Considerando 97 GDPR);
- il titolare non può penalizzare o rimuovere dall’incarico in rapporto allo svolgimento dei compiti propri della sua funzione, anche quando il DPO è interno (art. 38, comma 3 GDPR);
- il titolare non può ostacolare i rapporti tra il e il vertice gerarchico del titolare o del responsabile del trattamento (come ad esempio il consiglio di amministrazione), ma deve garantire che il DPO possa riferire direttamente a chi ha potere decisionale (art. 38, comma 3 GDPR);
- il titolare non può ostacolare il rapporto e i canali di comunicazione tra interessati e DPO: gli interessati devono poter contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti (art. 38, comma 4 GDPR);
- il titolare non può nominare DPO un soggetto che sia in conflitto di interessi con eventuali ulteriori compiti e funzioni che svolge per il titolare stesso (art. 38, comma 5 GDPR).
Su questi profili si è espresso di recente anche l’European Data Protection Board (EDPB) nel suo report “Designation and Position of Data Protection Officers” del 16 gennaio 2024.
Il report, frutto di indagini coordinate sul ruolo dei DPO svolte da 25 autorità di vigilanza in tutto lo Spazio Economico Europeo, restituisce una panoramica della situazione europea sul profilo, la posizione e il lavoro svolto dai DPO.
Nonostante l’EDPB abbia valutato la situazione - nel suo complesso - in modo positivo, è opportuno sottolineare come l’indagine abbia portato alla luce una serie di lacune che si basano giocoforza sui requisiti sopra riportati.
Per fare qualche esempio, l’EDPB rileva:
- l’assenza di designazione di un DPO, anche nei casi in cui la nomina è obbligatoria;
- l’insufficienza delle risorse assegnate al DPO;
- le insufficienti conoscenze specialistiche e la non adeguata formazione del DPO;
- la mancanza di consapevolezza del ruolo del DPO, che porta i titolari ad assegnare incarichi non pienamente corrispondenti a quello che il GDPR prevede;
- la presenza di situazioni di conflitto di interessi, e la mancanza di indipendenza del DPO;
- la mancanza di relazioni tra il DPO e il più alto livello dirigenziale dell’organizzazione.
Il report analizza ciascuno degli aspetti qui citati, ponendo l’attenzione anche sui DPO del futuro: quali saranno i nuovi ruoli che saranno assunti dai DPO? I nuovi atti legislativi dell’Unione Europee nel settore digitale incideranno sulla figura del DPO?
Quello del DPO è un tema di cui parleremo anche in futuro, considerato anche che l’EDPB ha annunciato che saranno ulteriormente sviluppate le Linee guida sui responsabili della protezione dei dati a suo tempo pubblicate dal Gruppo di lavoro ex art. 29.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.
