Nuovi controlli sull’attività dei DPO: cosa prevede l’azione coordinata dall’EDPB (CEF 2023)?

Articolo header

Lo scorso 15 marzo, il Comitato europeo per la protezione dei dati (EDPB) ha avviato l’azione coordinata di enforcement 2023 (Coordinated Enforcement Framework - CEF). L’iniziativa di quest’anno prevede controlli sulla designazione e sulla posizione dei DPO, condotti attraverso specifici questionari e indagini. Le verifiche si potranno concludere con: specifici follow up, l’individuazione di ulteriori azioni di vigilanza, sanzioni (qualora vengano rilevante non conformità al GDPR).



La strategia 2021-2023 dell’EDPB

La duplice missione del Comitato europeo per la protezione dei dati (EDPB) è quella di garantire l’applicazione coerente GDPR e, al contempo, promuovere una cooperazione efficace tra le Autorità di controllo in tutto lo Spazio Economico Europeo (SEE). Per affrontare le sfide emergenti, consolidare l’applicazione del GDPR e proteggere le persone in relazione al trattamento dei dati personali, l’EDPB ha deciso di definire una specifica strategia di azioni per il periodo 2021-2023.

Fra le azioni previste, vi è l’implementazione del “Coordinated Enforcement Framework” (CEF), che comprende misure che vanno dalla semplice raccolta di informazioni e sensibilizzazione, sino ad arrivare a controlli a tappeto e ad indagini congiunte, ad opera delle Autorità di controllo nazionali.


Il Coordinated Enforcement Framework (CEF) in teoria

Ai sensi del GDPR, le Autorità di controllo devono mettere in atto misure per un’efficace cooperazione reciproca, condividendo informazioni e fornendo assistenza ad altre Autorità, al fine di garantire l’applicazione e l’attuazione coerente del regolamento.

Il CEF si inserisce proprio fra i meccanismi di cooperazione previsti dal GDPR e mira a facilitare il coordinamento delle azioni di contrasto condotte dalle Autorità di controllo nazionali, sulla base di priorità individuate di comune accordo e utilizzando metodologie comuni. A differenza di un’azione reattiva (ad esempio, la gestione dei reclami), l’azione nell’ambito del CEF è intesa come proattiva e ha lo scopo di promuovere la conformità, di mettere gli interessati in condizione di esercitare i propri diritti, di sensibilizzare l’opinione pubblica e/o di aumentare le conoscenze delle Autorità di controllo.


Il Coordinated Enforcement Framework (CEF) in pratica

Concretamente, ogni anno l’EDPB definisce, attraverso il CEF, una azione coordinata annuale in funzione di uno specifico argomento/topic (ad esempio, lo scorso anno il tema prescelto è stato l’uso dei servizi cloud nel settore pubblico) che le Autorità di controllo partecipanti (le Supervisory Authority - SA) possono perseguire utilizzando una metodologia definita a monte.

Successivamente, le stesse Autorità si impegnano ad attuare l’azione a livello nazionale e a condividere gli aggiornamenti sui progressi, le informazioni pertinenti e, se del caso, le migliori pratiche. Tutti i risultati nazionali saranno consolidati nella relazione finale dell’EDPB, che includerà specifiche raccomandazioni in funzione di quanto rilevato. Laddove venga raccomandata un’azione di follow-up, ne verrà monitorata l’attuazione.

Al termine dello svolgimento dell’azione coordinata e formulate le raccomandazioni, gli Stati Maggiori partecipanti contribuiranno a rivedere il processo nel suo complesso, al fine di perfezionare il CEF e semplificare le azioni coordinate per i prossimi anni.


Lo schema riassume il processo di applicazione del CEF.


CEF, assistenza reciproca e operazioni congiunte

Il GDPR prevede che le Autorità di controllo si scambino le informazioni utili, prestandosi assistenza reciproca, al fine di attuare e applicare il regolamento in maniera coerente (articolo 61). Tale disposizione consente, quindi, alle Autorità di richiedere l’assistenza reciproca per questioni/casi specifici. L’EDPB chiarisce che l’assistenza reciproca può costituire un valido strumento, all’interno del CEF, per condividere i risultati o chiedere informazioni tra le Autorità partecipanti.

Allo stesso modo si posizionano le operazioni congiunte delle Autorità di controllo (articolo 62), comprese le indagini congiunte, la realizzazione di un’indagine a tappeto o l’impegno in una sensibilizzazione congiunta. Tali meccanismi possono essere utilizzati dalle Autorità per attuare il CEF.


Il CEF 2023: il ruolo delle Autorità e la funzione dei questionari

Il 15 marzo, l’EDPB ha annunciato che 26 Autorità per la protezione dei dati parteciperanno al CEF 2023, incentrato sulla designazione e sulla posizione dei responsabili della protezione dei dati. In questa seconda iniziativa nell’ambito del Coordinated Enforcement Framework, le Autorità partecipanti cercheranno di valutare se i DPO detengono la posizione organizzativa richiesta dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere il loro lavoro.

Gwendal Le Grand, responsabile delle attività di supporto all’esecuzione e coordinamento presso l’EDPB, ha dichiarato che, nelle settimane e nei mesi a venire, i DPO potranno essere “sollecitati”, dalle Autorità di controllo nazionali, mediante appositi questionari. I questionari, serviranno alle Autorità per operare un preliminare accertamento dei fatti o a identificare se è giustificata un’indagine formale.  “L’idea non è quella di rendere la vita dei DPO più difficile” ha affermato Le Grand, “ma di garantire che abbiano i mezzi per lavorare correttamente nella loro organizzazione”. I risultati saranno analizzati in maniera coordinata e le Autorità di controllo potranno decidere in merito ad eventuali ulteriori azioni da applicare.

L’EDPB non ha fornito l’elenco di tutte le 26 Autorità di controllo partecipanti, ma la DPA spagnola, l'Agencia Española de Protección de Datos (AEPD), ha dichiarato che analizzerà le pratiche di oltre 30.000 enti del settore pubblico e privato, come parte del CEF. L’AEPD ha dichiarato che i questionari includeranno “domande relative, tra l’altro, alla designazione, alla conoscenza e all’esperienza dei DPO, ai loro compiti e alle loro risorse o al loro ruolo e alla loro posizione nelle rispettive organizzazioni”.

Anche il Bayerisches Landesamt für Datenschutzaufsicht della Baviera, l'Agenzia croata per la protezione dei dati personali, l’Úřad pro ochranu osobních údajů della Repubblica Ceca, la Commission nationale de l'informatique et des libertés della Francia, l’Office of the Data Protection Ombudsman della Finlandia e la Commissione nazionale per la protezione dei dati del Portogallo hanno annunciato la propria partecipazione al CEF.


I controlli sui DPO

Il GDPR conferisce ai DPO un ruolo essenziale nel contribuire al rispetto delle norme in materia di protezione dei dati e nel promuovere un’efficace protezione dei diritti degli interessati. Una recente indagine di IAPP (Associazione Internazionale no-profit dei professionisti della privacy) ha evidenziato come, in tutta Europa, siano più di 500.000 le organizzazioni che hanno nominato un DPO. Tutte queste organizzazioni “hanno l’obbligo di garantire che la posizione legale del responsabile della protezione dei dati sia soddisfatta”, ha dichiarato il commissario finlandese per la protezione dei dati, la dott.ssa Anu Talus.

Il CEF 2023 mira proprio a valutare se i DPO ricoprono la posizione prevista dal GDPR, ovvero se vengono tempestivamente e adeguatamente coinvolti in tutte le questioni riguardanti la protezione dei dati personali; se sono dotati delle risorse necessarie per assolvere ai loro compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica; se sono indipendenti ed in condizione di interfacciarsi direttamente con il vertice gerarchico; se agiscono in assenza di conflitti di interesse; etc.

A tal fine, l’EDPB prevede tre azioni di attuazione del CEF ad opera delle Autorità di controllo nazionali:

  1. la trasmissione di questionari ai DPO, per facilitare l’esercizio di raccolta delle informazioni o per identificare se è giustificata un’indagine formale con apertura di accertamenti istruttori;
  2. l’avvio di un’indagine formale; 
  3. la predisposizione di specifici follow-up rispetto alle indagini formali in corso. 


L’esito dei controlli

I risultati dell’iniziativa congiunta saranno analizzati in modo coordinato.

  • A livello nazionale, i Garanti decideranno su possibili ulteriori azioni di supervisione e di esecuzione.
  • A livello europeo, i risultati saranno aggregati, generando una visione più approfondita dell’argomento prescelto e consentendo follow-up mirati. L’EDPB pubblicherà una relazione sui risultati di questa analisi una volta conclusa l’applicazione delle specifiche azioni.

 

Sebbene le Autorità per la protezione dei dati considerino il ruolo del DPO un fattore cruciale per la conformità al GDPR, Tim Van Canneyt, Partner dello Studio Fieldfisher, ha affermato che molte organizzazioni stanno ancora “affrontando il ruolo che il loro DPO dovrebbe svolgere”, mentre alcune combinano il ruolo con altre funzioni, il che potrebbe facilmente generare conflitti di interessi. “Credo che l’EDPB utilizzerà questa azione coordinata per comprendere meglio lo stato attuale delle cose, al fine di chiarire le proprie aspettative in termini di risorse che un DPO dovrebbe avere a disposizione e la questione dei conflitti”, ha dichiarato Canneyt. “Mi aspetto che questo porti a una serie di sanzioni. Probabilmente non lo ammetteranno, ma credo che molti DPO accoglieranno con favore questa iniziativa, che li aiuterà nelle loro - a volte difficili - discussioni, con i dirigenti, sulle risorse”.


E tu cosa ne pensi? Gli eventi organizzati da ASSO DPO costituiscono un momento di confronto utile per discutere di questi temi con altri professionisti. Ti ricordiamo che sono aperte le iscrizioni al Congresso 2023  in cui, fra le altre cose, si parlerà anche di controlli e sanzioni. Dai un’occhiata al programma completo.

Altre news