DPO e ispezioni: la prima campagna di indagine tematica condotta da un’Autorità di controllo

Articolo header

Da inizio 2021 ad oggi si stima che le sanzioni comminate dalle principali Autorità di controllo europee, direttamente correlate al mancato rispetto degli obblighi relativi alla figura del DPO, abbiano raggiunto un ammontare complessivo di 160.000 euro. Il valore è preoccupante.


Obblighi relativi alla figura del DPO: le sanzioni comminate dalle principali Autorità di controllo europee hanno raggiunto un ammontare complessivo di 160.000 euro. 

Il valore è preoccupante, soprattutto se contestualizzato rispetto agli anni precedenti: l’andamento è in crescita costante ed esponenziale. Dalle decisioni delle Autorità di controllo, tuttavia, si possono trarre delle considerazioni interessanti, che possono essere d’aiuto non solo ai titolari del trattamento dei dati, ma anche ai DPO stessi. 

La campagna di indagine condotta dal Garante lussemburghese rappresenta un punto di riferimento utile per i DPO che vogliono sapere e prevenire. Nell’articolo di oggi vediamo le ultime sanzioni e l’approccio peculiare del CNPD.

Le sanzioni più recenti e il mancato rispetto dell’art. 37

Molte delle sanzioni relative al mancato rispetto dell’art. 37 del GDPR, sono correlate ad altre violazioni. Ricordiamo che l’art. 37 paragrafo 1 del GDPR elenca i casi in cui la nomina di un DPO è obbligatoria, ovvero: 

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  3. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

In ogni caso, in base al principio di responsabilizzazione, e come espressamente previsto dal Gruppo di lavoro art. 29 (WP29) nelle Linee guida sui Responsabili della protezione dei dati (WP243), titolari del trattamento e responsabili sono tenuti a documentare le valutazioni compiute, per stabilire se si applichi o meno l’obbligo di nomina, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. 

La mancata designazione del DPO nel contesto di altre violazioni

A fine dicembre 2021 l’Autorità garante ellenica (Hellenic Data Protection Authority), ha imposto una sanzione di 75.000 euro al Ministero del Turismo greco. La decisione scaturisce dalla segnalazione di una violazione (data breach): un cittadino, nel tentativo di accedere al proprio profilo sulla piattaforma online del Ministero, aveva avuto accesso ai dati di un altro soggetto (fra cui nome e cognome, codice fiscale, numero di previdenza sociale, indirizzo postale, numero di telefono, indirizzo e-mail e campi che indicano una disabilità). 

Il Ministero, oltre ad essere evidentemente carente delle fondamentali misure tecniche, volte ad assicurare la sicurezza del sistema, non aveva provveduto a notificare il breach all’Autorità e a comunicare i dati di contatto del DPO. L’indirizzo e-mail del responsabile della protezione dei dati, infatti, era stato pubblicato sulla piattaforma online ma risultava non attivo, in quanto il Ministero, in realtà, non aveva ancora provveduto alla relativa designazione. 

Sempre nel mese di dicembre, la nostra Autorità garante per la protezione dei dati personali ha sanzionato una clinica (il Centro di Medicina preventiva s.r.l.), per un importo pari a 10.000 euro. La dinamica della decisione si sviluppa, anche in questo caso, a partire da un data breach, notificato in relazione ad un attacco informatico da parte di un gruppo di hacker, che ha comportato la pubblicazione, sul profilo Twitter del gruppo, di “un’immagine parzialmente oscurata nei dati sensibili (nome paziente e ID paziente) di un elenco di nominativi ed esami radio-diagnostici effettuati nella data del XX”. 

Nel corso dell’istruttoria l’Autorità ha rilevato che il titolare del trattamento non aveva provveduto alla designazione di un responsabile della protezione dei dati. La società, nelle memorie difensive, di fatto accusava il proprio consulente, sostenendo di aver fatto affidamento sullo stesso per ogni incombenza relativa alla designazione del DPO. 

Tali argomentazioni, tuttavia, non hanno consentito il superamento dei rilievi notificati dall’Autorità, la quale ha specificato che: “la circostanza che il Centro avesse affidato a un soggetto terzo l’onere di porre in essere il predetto adempimento, non lo esonera da responsabilità, in quanto lo stesso avrebbe dovuto svolgere attività di vigilanza e verificare l’assolvimento di tale obbligo,  in ragione del fatto che il titolare ha una “responsabilità generale” sui trattamenti posti in essere”. Ancora, il titolare, alla luce del principio di accountability, è tenuto a “mettere in atto misure adeguate ed efficaci [e…"> dimostrare la conformità delle attività di trattamento con il […"> Regolamento, compresa l’efficacia delle misure”. 

Il Garante ha concluso il procedimento comminando una sanzione amministrativa pecuniaria, considerando varie circostanze attenuanti e l’intervento immediato della clinica, che ha provveduto a rimediare alla violazione (mediante l’esecuzione di un vulnerability assessment, con relativo remediation plan sviluppato da una società specializzata) e ad assolvere l’obbligo di comunicazione dei dati di contatto del DPO. 

Reclami diretti ad accertare la mancata designazione del DPO

Se la sanzioni fino ad ora esaminate si sono inserite o hanno preso le mosse da più ampie istruttorie, spesso aventi ad oggetto data breach o altre violazioni, non è raro che ordinanze di ingiunzione possano anche derivare direttamente da reclami, volti a segnalare proprio la mancata designazione di un responsabile della protezione dei dati. Fra queste troviamo, ad esempio, il provvedimento 231/2021 dell’“AEPD”, Autorità spagnola per la protezione dei dati. 

Nel caso in esame, la decisione dell’Autorità di sanzionare Aconcagua Juegos, SA (società di giochi online) deriva da un reclamo volto a segnalare la mancata designazione di un responsabile della protezione dei dati, nonostante la privacy policy presente sul sito della società ne menzionasse l’esistenza. L'AEPD nel multare, per 10.000 euro, la società di giochi online, ha considerato i seguenti fattori aggravanti;

  • la natura, la gravità e la durata del reato;
  • l'intenzionalità e la negligenza nel reato; e
  • il numero di parti interessate colpite, vista la larga scala di persone che quotidianamente accedono ai servizi online erogati dalla società denunciata. 

Le sanzioni del CNPD: peculiarità

Nel corso del 2021, la Commissione nazionale per la protezione dei dati (“CNPD”), Autorità di controllo del Lussemburgo, ha pubblicato cinque importanti decisioni relative a varie violazioni correlate al ruolo del responsabile della protezione dei dati. Le sanzioni del CNPD sono peculiari in quanto si estendono spesso, nel dettaglio, ad una disamina approfondita dei requisiti del DPO, nonché alla verifica della sua posizione all’interno dell’organizzazione del titolare. 

Nel mese di novembre l’Autorità ha sanzionato per 18.000 euro un ente pubblico, rilevando, nel corso dell’indagine, le seguenti non conformità:

  • l'ente in questione non aveva dimostrato di aver coinvolto sufficientemente il DPO nelle questioni di conformità alla protezione dei dati dell'organizzazione;
  • l'ente non aveva dotato il DPO di risorse sufficienti per svolgere il proprio ruolo;
  • il DPO non si trovava nella posizione di poter sorvegliare adeguatamente sull’osservanza del GDPR, essendo un fornitore di servizi esterno non coinvolto adeguatamente nelle attività quotidiane dell’ente;
  • sebbene i dati di contatto del DPO fossero disponibili sul sito web dell'organizzazione, tali dati erano difficili da trovare. Pubblicare le informazioni di contatto senza adottare le misure necessarie per garantire che gli interessati siano in grado di trovarle e comprenderle, infatti, equivale a rendere privo di significato l'obbligo di cui all'articolo 37, paragrafo 7, del GDPR (“Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo”).

Oltre alla sanzione finanziaria, il CNPD ha ordinato all'ente pubblico di porre rimedio alle violazioni rilevate entro sei mesi, vale a dire di fornire risorse sufficienti al DPO e di garantire che lo stesso sia coinvolto nelle attività di monitoraggio della conformità al GDPR.

Alla stregua di questa decisione, sempre nel mese di novembre, il CNPD ha inflitto altre due ammende in successione, la prima di 18.700 euro nel caso n. 41FR/2021, la seconda di 80.000 euro, nel caso n. 42FR/2021. 

La sanzione di 18.700 euro fa riferimento, fra le altre cose, alla violazione degli articoli del GDPR che riguardano la necessità di garantire che il DPO operi in autonomia, e non riceva istruzioni nell’esecuzione dei compiti previsti dal regolamento. Nel caso in esame, nonostante la partecipazione del DPO ai comitati pertinenti dell’organizzazione, mancava un collegamento diretto con il più alto livello dell’azienda, per consentire al responsabile della protezione dei dati di riferire direttamente ai vertici eventuali violazioni o non conformità. 

Non è sufficiente quindi che il DPO partecipi ai gruppi di lavoro della società, è necessaria anche la sua presenza ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. In queste situazioni, il parere del responsabile della protezione dei dati dovrebbe sempre ricevere la dovuta considerazione e, qualora l’organizzazione prenda decisioni incompatibili con le indicazioni fornite, il DPO dovrebbe avere la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori. L’articolo 38 del GDPR, infatti, prevede che il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce che il vertice amministrativo sia a conoscenza delle raccomandazioni fornite dal DPO, nel quadro delle sue funzioni di informazione e consulenza.

A conclusione della disamina delle sanzioni comminate dal CNPD, l’ammenda di 80.000 euro riguarda un caso di violazione dell'obbligo di nominare il responsabile della protezione dei dati. La società in esame ha documentato la sua analisi interna, in collaborazione con i consulenti, al fine di determinare se avesse bisogno o meno di nominare un DPO. Sulla base di questa analisi, l'azienda aveva concluso che non sembrava necessario, in considerazione delle attività svolte. Il CNPD, invece, ha constatato che il servizio di carte fedeltà offerto dalla società poteva configurarsi come monitoraggio sistematico e regolare, su larga scala, degli acquisti dei clienti.

Un approccio peculiare: la campagna investigativa del CNPD

Le decisioni sopra esaminate si innestano nella campagna investigativa riguardante la funzione del DPO, intrapresa dal CNPD nel 2018. Dall’entrata in vigore del GDPR, infatti, l’Autorità ha avviato ventotto procedure di audit, che hanno riguardato in gran parte il settore privato.

Gli audit mediante i quali è stata condotta la campagna di indagine tematica, evidenziano undici principali obiettivi dei controlli:

  1. Assicurarsi che l'organizzazione soggetta all'obbligo di nominare un DPO lo abbia fatto;
  2. Assicurarsi che l'organizzazione abbia pubblicato i dati di contatto del suo DPO;
  3. Assicurarsi che l'organizzazione abbia comunicato i dati del suo DPO al CNPD;
  4. Assicurarsi che il DPO abbia competenze e capacità sufficienti per svolgere efficacemente i suoi compiti;
  5. Assicurarsi che i compiti e i doveri del DPO non portino a un conflitto di interessi;
  6. Assicurarsi che il DPO abbia risorse sufficienti per svolgere efficacemente i suoi compiti;
  7. Assicurare che l'RPD sia in grado di svolgere i suoi compiti con un sufficiente grado di autonomia all'interno della sua organizzazione
  8. Assicurarsi che l'organizzazione abbia messo in atto misure per garantire che il DPO sia coinvolto in tutte le questioni di protezione dei dati;
  9. Assicurarsi che il DPO adempia al suo compito di fornire informazioni, consulenza e consigli al titolare e ai dipendenti;
  10. Assicurarsi che il DPO eserciti un controllo adeguato sul trattamento dei dati all'interno della sua organizzazione;
  11. Assicurarsi che il DPO assista il titolare del trattamento nella realizzazione di valutazioni d'impatto in caso di nuove operazioni di trattamento dei dati.

La “campagna di indagine tematica sulla funzione del DPO” condotta dal CNPD rappresenta, per ora, un unicum nel contesto europeo, in quanto si focalizza sugli adempimenti specifici previsti dalla Sezione 4 del GDPR. 

Non è detto che, in futuro, questo tipo di attività possa essere portata avanti anche da altre Autorità di controllo. Per restare aggiornato ti consigliamo di iscriverti alla newsletter ASSO DPO o di aderire all’Associazione: il confronto, lo scambio di informazioni fra soci, la partecipazione agli eventi organizzati, rappresentano un ottimo modo per crescere professionalmente. 

Sanzioni CNPD - Lussemburgo

Altre sanzioni

Altre news