Nel mese di marzo il Comitato Europeo per la protezione dei dati (“EDPB”), ha avviato l’azione coordinata di enforcement 2023. L’azione si è concretizzata attraverso questionari distribuiti dalle varie Data Protection Authority, caratterizzati da alcune differenze di approccio e metodologiche. In seguito, nel mese di maggio, si è tenuta la trentunesima edizione della conferenza di primavera delle Autorità europee di protezione dati, con focus sulla figura del Data Protection Officer, ed il Garante per la protezione dei dati personali ha annunciato di aver intrapreso un’indagine sui DPO negli enti locali. Facciamo il punto e cerchiamo di capire cosa è emerso, in questi mesi, dai controlli svolti.
L’azione coordinata di enforcement 2023 avviata dall’EDPB (Coordinated Enforcement Framework – “CEF”), a cui partecipa il Garante per la protezione dei dati personali, insieme ad altre 25 Autorità di controllo compreso l’EDPS, mira a valutare se i DPO sono dotati delle caratteristiche richieste dagli articoli 37, 38 e 39 del GDPR, in particolare per quanto attiene alla posizione ricoperta all’interno delle organizzazioni e alle risorse assegnate (ne abbiamo parlato QUI).
L’annuncio relativo all’oggetto del CEF 2023 fa seguito all’indagine intrapresa dall’Autorità svedese per la protezione dei dati e alla sentenza della Corte di Giustizia dell’Unione Europea (“CGUE”) nella causa C-453/21, avente ad oggetto l’articolo 38 del GDPR e la questione del conflitto di interessi.
L’indagine del Garante svedese
Ricordiamo, infatti, che già prima che venisse annunciato l’oggetto del CEF, nel mese di gennaio 2023, l’Autorità svedese per la protezione dei dati aveva pubblicato i risultati di uno studio incentrato proprio sulla figura del DPO (ne abbiamo parlato QUI). Lo studio è stato condotto inviando circa 4.600 sondaggi alle organizzazioni che avevano comunicato i dati di contatto del proprio DPO. A fronte di una partecipazione relativamente bassa, i DPO di quasi 800 organizzazioni hanno risposto al sondaggio, da cui sono emerse alcune, importanti, considerazioni:
- la natura continua e dinamica del lavoro nell’ambito della protezione dei dati personali richiede l’effettivo e costante coinvolgimento del DPO in tutte le questioni aventi impatti privacy;
- procedure e formazione continua sono due misure organizzative chiave per garantire il coinvolgimento del DPO, la sicurezza dei trattamenti e la prevenzione dalle violazioni, in particolare quelle causate da errori umani;
- la formazione dovrebbe essere utile anche per chiarire il ruolo del DPO, in quanto spesso viene percepito come un ruolo/incarico ambiguo o incomprensibile;
- la protezione dei dati personali all’interno delle organizzazioni può progredire solo con una gestione attiva. Ciò significa che il DPO dovrebbe lavorare a stretto contatto con le altre aree pertinenti (ad esempio, sicurezza delle informazioni, gestione delle informazioni, etc.).
Al tempo stesso, lo studio ha evidenziato alcune gravi lacune che necessitavano di essere indagate / approfondite:
- solo il 40% dei DPO partecipanti ha dichiarato di essere in grado di spiegare l’importanza della protezione dei dati alla Direzione;
- solo il 50% dei DPO partecipanti ha dichiarato di essere tempestivamente coinvolti nelle questioni attinenti alla protezione dei dati personali;
- solo il 25% dei DPO partecipanti ha dichiarato di avere a disposizione tempo sufficiente per la gestione delle proprie mansioni in materia di protezione dei dati personali.
La sentenza C‑453/21
Sempre in via preliminare all’avvio del CEF, nel mese di febbraio 2023, la CGUE ha pubblicato la Sentenza nella causa C‑453/21. In risposta ad una richiesta di pronuncia pregiudiziale, trasmessa dal Tribunale federale del lavoro tedesco (De. Bundesarbeitsgericht), la CGUE ha sottolineato l’importanza dell’indipendenza del DPO e ha stabilito che l’articolo 38, paragrafo 3, del GDPR non preclude alle legislazioni nazionali la possibilità di prevedere ulteriori tutele contro il licenziamento dei DPO, a condizione che tali legislazioni non pregiudichino gli obiettivi perseguiti dal Regolamento europeo in materia di protezione dei dati personali.
Al tempo stesso, la CGUE ha chiarito che, in virtù dell'articolo 38, paragrafo 6, del GDPR, non vi è alcuna “incompatibilità fondamentale” tra il ruolo di DPO e altri ruoli e che, pertanto, un DPO può svolgere altri compiti e doveri, purché tali compiti e doveri non diano adito a conflitti di interessi. Secondo la Corte, “può configurarsi un «conflitto di interessi», […">, qualora il DPO sia incaricato di altri compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento o il responsabile del trattamento, circostanza che spetta al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze pertinenti, in particolare della struttura organizzativa del titolare del trattamento o del responsabile del trattamento e alla luce dell’insieme della normativa applicabile, ivi comprese eventuali politiche interne di questi ultimi”.
L’attività del Garante: controlli sugli enti locali
Il CEF 2023 si innesta quindi in un periodo di grande fermento intorno alla figura del DPO. L’azione di enforcement si è concretizzata attraverso questionari distribuiti dalle varie Data Protection Authority, caratterizzati da alcune differenze di approccio e metodologiche, ma sempre focalizzati, nello specifico, alla verifica della posizione ricoperta dal DPO e della presenza di eventuali conflitti di interessi.
A livello nazionale, ai controlli condotti nell’ambito del CEF dall’Autorità Garante, si affiancano le verifiche sul rispetto dell’obbligo di comunicazione dei dati di contatto del DPO presso gli enti pubblici. Nel mese di maggio, infatti, l’Autorità Garante per la protezione dei dati personali ha comunicato di aver avviato un’indagine specifica che, al momento, interessa gli enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ma che, in futuro, potrà essere estesa anche agli enti locali più piccoli e ad altri soggetti pubblici.
L’azione del Garante mira all’adozione di provvedimenti correttivi e sanzionatori nei confronti degli enti inadempienti. L’Autorità, infatti, ha ricordato che, quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un DPO e a comunicarne i dati di contatto attraverso l’apposita procedura online.
Le conseguenze in caso di violazioni
Le conseguenze in caso di violazione degli articoli relativi al DPO sono ben evidenziate dai dati relativi alle ingiunzioni comminate dalle varie Autorità di controllo europee ad enti ed imprese titolari e responsabili del trattamento. Solo nel 2022 il Garante ha sanzionato sette volte per violazione dell’art. 37 del GDPR, per un totale di 242 mila euro e tre volte per violazione dell’art. 38 del GDPR, per un totale di 38 mila euro. Tutti i casi di violazione dell’articolo 38 fanno riferimento al sopracitato paragrafo 6: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”
Nello specifico,
- nel caso del Conservatorio di Musica S. Cecilia di Roma, il DPO rivestiva anche il ruolo di direttore dell’istituto;
- nel caso del Comune di Policoro, il DPO rivestiva anche il ruolo di avvocato che rappresentava l’Ente in giudizio;
- nel caso del Comune di Villabate, il DPO rivestiva anche il ruolo di Responsabile dell'Area Affari Generali.
Il Garante nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, aveva già messo in guardia gli Enti, individuando alcuni specifici casi di conflitto di interessi:
- “un RPD che, contemporaneamente, […"> svolga […"> il ruolo di difensore in giudizio”;
- “figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico”;
- “ruoli […"> come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati”.
La conferenza di primavera 2023
Sempre nel mese di maggio si è tenuta la trentunesima edizione della conferenza di primavera delle Autorità europee di protezione dati, con focus sulla figura del Data Protection Officer, il suo ruolo all’interno delle organizzazioni e il rapporto con le Autorità di controllo.
La conoscenza, l’atteggiamento e le competenze dei DPO possono influire in modo determinante sullo standard di protezione dei dati di una determinata organizzazione. I DPO, tuttavia, non hanno solo il compito di partecipare allo sviluppo di ambienti attenti alla privacy (privacy-conscious) all’interno di enti ed imprese, devono anche essere in grado di collaborare con le autorità di protezione dei dati nell'esercizio delle loro funzioni.
DPO e DPA: amici o nemici?
Proprio quest’ultimo aspetto è stato oggetto di approfondimento nel corso della conferenza di primavera: DPO e DPA devono essere considerati amici o nemici?
La risposta dipende principalmente dalla figura del DPO. Se questa posizione è ricoperta da professionisti altamente qualificati, il rispetto delle norme sulla protezione dei dati sarà maggiore, con conseguenti maggiori benefici per le DPA e, in ultima analisi, per la società. Una strada per avvantaggiare entrambe le parti (Autorità di controllo e DPO), è rappresentata dalla formazione dei DPO. Tale obiettivo può essere raggiunto anche attraverso la partecipazione a reti di DPO ben sviluppate, che consentano di mantenere aggiornate le informazioni, le conoscenze, il know-how e le migliori pratiche.
I vantaggi dell’adesione ad Associazioni di settore, come ASSO DPO, sono stati riconosciuti dagli illustri partecipanti alla conferenza di primavera, fra cui Andrea Jelinek, presidente del Comitato europeo per la protezione dei dati e Wojciech Wiewiórowski, garante europeo della protezione dei dati.
Se non l’hai ancora fatto, ti invitiamo quindi ad aderire all’Associazione, cliccando qui.
Fonti: