La Commissione nazionale per la protezione dei dati del Lussemburgo (CNPD), a conclusione di un’indagine tematica sul ruolo del DPO, ha emesso un provvedimento nei confronti di una controllata pubblica rilevando l’inadeguatezza della struttura organizzativa dell’ente rispetto alle prescrizioni del GDPR e alle Linee Guida sulla figura del DPO emanate dal WP29 ed erogando una sanzione di 18.000 euro.
In particolare, nel contesto di questa specifica campagna di audit, l’Autorità di controllo sottolinea che gli standard qualitativi del DPO possono essere soddisfatti solo se lo stesso ha maturato almeno tre anni di esperienza professionale in materia di protezione dei dati, necessari per svolgere efficacemente i suoi compiti.
Si tratta, dunque, di un provvedimento molto importante che può servire da lezione per tutti non tanto per l’ammontare della sanzione quanto per il fatto che per la prima volta viene definito un parametro valutativo utile nella scelta di un DPO da parte delle aziende sia pubbliche sia private.
Nel seguito, una disamina degli aspetti principali presi in esame dall’Autorità e delle motivazioni connesse al riscontro delle violazioni degli stessi.
Indice degli argomenti
Gli ambiti oggetto di controllo
Il provvedimento in esame, relativo ad una controllata pubblica posta sotto la vigilanza di un Ministero, deriva da un’indagine aperta dalla CNPD nel 2018, che ha coinvolto sia il settore privato che quello pubblico, mediante 25 procedure di audit.
Gli obiettivi principali perseguiti mediante gli audit erano 11:
- assicurarsi che si sia provveduto all’obbligo di nomina del DPO;
- assicurarsi che siano stati pubblicati i dati di contatto del DPO;
- assicurarsi che i dati di contatto del DPO siano stati comunicati al CNPD;
- assicurarsi che il DPO abbia competenze e capacità sufficienti per svolgere efficacemente i suoi compiti;
- assicurarsi che i compiti e i doveri del DPO non portino a un conflitto di interessi;
- assicurarsi che il DPO abbia risorse sufficienti per svolgere efficacemente i suoi compiti;
- assicurarsi che il DPO sia in grado di svolgere i suoi compiti con un sufficiente grado di autonomia all’interno della sua organizzazione;
- assicurarsi che l’organizzazione abbia messo in atto misure per garantire che il DPO sia coinvolto in tutte le questioni di protezione dei dati;
- assicurarsi che il DPO adempia alla sua missione di informazione e consulenza nei confronti del titolare del trattamento e dei dipendenti;
- assicurarsi che il DPO eserciti un controllo adeguato sul trattamento dei dati;
- assicurarsi che il DPO coadiuvi il titolare del trattamento nell’espletamento della valutazione di impatto nell’ipotesi in cui siano attuati nuovi trattamenti di dati personali.
Qualità professionali ed esperienza sul campo del DPO
La criticità di maggiore interesse emersa durante le suddette attività di audit riguarda senz’altro quella di cui al punto 4 e relativa alle competenze e capacità specifiche del DPO sufficienti per svolgere efficacemente i suoi compiti.
Come sappiamo, l’art. 37 par. 5 GDPR prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Tale concetto è ripreso e specificato all’interno del considerando 97 GDPR, nel quale si afferma che “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […]. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.
All’interno delle linee guida redatte dal WP29, si prevede, poi, che il livello di competenza del DPO debba essere proporzionato alla sensibilità, alla complessità e al volume dei dati trattati dal Titolare. Per tale ragione, è opportuno che il DPO abbia una conoscenza approfondita della normativa e delle prassi nazionali in materia di dati personali, oltre che del settore in cui il titolare si trova ad operare.
Nel caso di specie, dal rapporto di audit si evince che affinché si potesse considerare raggiunto da parte del soggetto controllato l’obiettivo 4 delle attività di audit di cui sopra, l’Autorità di controllo si aspettava che il DPO avesse almeno tre anni di esperienza professionale nella protezione dei dati.
Seppur riscontrando che il DPO in carica all’inizio dell’audit fosse dotato di requisiti professionali sufficienti per garantire il rispetto delle prescrizioni di cui al GDPR, essendo un avvocato dotato di specifiche competenze in materia di protezione dei dati (certificato CIPP/E), l’Autorità Garante rilevava che il nuovo DPO interno nominato nel 2019 non aveva una formazione, neppure pregressa, di tipo legale e in materia di protezione dei dati personali, pur avendo una conoscenza maggiormente approfondita della struttura e del settore in cui operava il titolare.
In sua difesa, il titolare riscontrava come il primo DPO fosse stato un “tentativo fallito”, in quanto non era dotato di una conoscenza specifica delle necessità del settore (requisito, questo, ritenuto essenziale dal titolare medesimo). Al DPO successivamente nominato, tuttavia, era garantita formazione continua e assistenza legale da parte di uno studio legale specializzato nella protezione dei dati, oltre che da parte delle risorse interne di riferimento (responsabile IT, responsabile risorse umane ecc.).
La violazione in esame, pertanto, veniva rimossa dalla CNPD, prendendo come riferimento per l’emanazione delle sanzioni il momento di inizio dell’audit e dando prevalenza al profilo legale del DPO in carica a detta data.
Obbligo di pubblicare i recapiti del DPO
L’articolo 37, par. 7 del GDPR prevede per il titolare e il responsabile del trattamento dati l’obbligo di pubblicare i dati di contatto del responsabile della protezione dei dati. Sulla scorta di quanto indicato dall’art. 38 par. 4 del GDPR, è possibile evincere come anche gli interessati debbano essere in grado di contattare il DPO per “tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti” garantiti dal GDPR.
La CNPD evidenzia, poi, come le linee guida sul ruolo del DPO redatte dal WP29 (WP 243 rev. 01 del 05.04.2017) spieghino che tale requisito è finalizzato ad assicurare che le persone interessate, siano esse interne o esterne all’organizzazione, possano contattare facilmente e direttamente il DPO. Ne consegue che le informazioni di contatto da rendere agli interessati possono includere un indirizzo postale, un numero di telefono specifico e/o un indirizzo e-mail dedicato.
Anche ai sensi degli artt. 12 e ss. GDPR, il recapito del DPO rientra tra le informazioni che devono essere rese all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Nel caso di specie, i dettagli di contatto del DPO erano di difficile reperimento sul sito web del titolare oggetto di audit, non contenendo lo stesso alcuna sezione dedicata alla protezione dei dati. Inoltre, l’informativa privacy era disponibile esclusivamente in inglese, senza che fosse disponibile la traduzione in nessuna delle lingue ufficiali del Lussemburgo.
Detti profili di criticità, corretti in corso di indagine, non hanno consentito la cancellazione della violazione riscontrata, essendo stato preso come riferimento temporale l’inizio dell’audit.
Il DPO come parte attiva dell’organizzazione
Il DPO non deve essere esclusivamente un soggetto “passivo” dell’organizzazione del titolare, ma un soggetto proattivo e cooperante sotto il profilo del trattamento dei dati personali. Le linee guida sul ruolo del DPO forniscono alcuni esempi su come garantire il coinvolgimento effettivo del DPO, come:
- Invitarlo a partecipare regolarmente alle riunioni del management e dei responsabili interni di settore;
- raccomandarne la presenza in caso sia necessario intraprendere decisioni che hanno implicazioni sul trattamento dei dati personali;
- tenere sempre in debito conto il parere reso dal DPO;
- consultare immediatamente il DPO nel momento in cui si verifica un data breach.
Si consiglia anche di prevedere una policy interna che indichi per quali trattamenti debba essere sempre consultato il DPO.
Nel caso di specie, la partecipazione del DPO alle decisioni era del tutto limitata: lo stesso interveniva principalmente su esplicita richiesta del titolare del trattamento, non agendo quasi mai spontaneamente. Non solo, il DPO era caratterizzato da una “bassa partecipazione a incontri ricorrenti, solo su invito quando se ne sia stimata la necessità”. Questo, secondo quanto riportato dal titolare, era dovuto anche alla natura “esterna” del primo DPO, che ne rendeva più complesso il coinvolgimento. Il DPO interno, invece, era un ospite permanente del comitato esecutivo di controllo, con frequenza bisettimanale, e del CdA, ogni tre mesi.
Nonostante ciò, l’autorità rilevava come la posizione e il coinvolgimento del DPO debbano anche essere adeguatamente formalizzati, mediante la previsione di una procedura di controllo che coinvolga il DPO:
- fornendo un feedback sistematico prima dell’attuazione dei trattamenti o, al più tardi, al momento della stipula dei contratti;
- identificando a monte gli elementi essenziali connessi alla protezione adeguata dei dati sensibili;
- prevedendo la revisione, a monte, delle informative e dei moduli di consenso distribuiti;
- sensibilizzando i team operativi e interloquendo con gli stessi, secondo il principio di privacy by design e privacy by default;
- pianificando correttamente l’esecuzione e la revisione delle valutazioni di impatto.
Sulla scorta di tali elementi, l’autorità riteneva non sufficientemente dimostrato il coinvolgimento effettivo del DPO esterno, che operava prevalentemente in modo “reattivo”.
Obbligo di fornire risorse sufficienti al DPO
Al fine di valutare se le risorse garantite al DPO siano sufficienti per lo svolgimento dei compiti allo stesso demandati, occorre prendere in considerazione due elementi essenziali:
- il tempo dedicato: è essenziale, infatti, che il DPO sia in grado di dedicare tempo sufficiente al suo ruolo. È buona norma, pertanto, afferma l’Autorità, prevedere una specifica percentuale di tempo dedicata alla funzione di DPO, nel caso in cui la stessa non sia esercitata a tempo pieno;
- l’accesso alle informazioni dei singoli reparti organizzativi (come le risorse umane, gli affari legali, l’IT, ecc.): il DPO deve, infatti, ricevere il giusto sostegno interno, i contributi e le informazioni operative essenziali, al fine di poter efficacemente applicare i principi del GDPR all’interno della struttura del titolare.
Più le operazioni di trattamento sono complesse o sensibili, maggiormente significative devono essere, di conseguenza, le risorse destinate al DPO.
Nel caso di specie, si rilevava, come anticipato, come il DPO avesse un ruolo essenzialmente reattivo, non a tempo a pieno. Inoltre, sulla scorta dei riscontri forniti, lo stesso aveva iniziato a operare concretamente solo da settembre 2018, con un picco di ore lavorate nel gennaio/marzo 2019. Si riscontrava, pertanto, una difformità in merito al profilo di cui ad oggetto, rilevando altresì come le risorse allocate al DPO subentrato successivamente, prevedendo anche l’ausilio di uno studio legale esterno, fossero invece da ritenersi adeguate.
Il conflitto di interessi
Come rilevato dall’art. 38 GDPR e dalle Linee Guida sul ruolo del DPO, possono sussistere molteplici situazioni di conflitto all’interno dell’organizzazione del titolare o del responsabile, con riferimento, in particolar modo, ai ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).
Il conflitto di interessi può sussistere anche rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione di finalità o mezzi del trattamento. “Inoltre”, si afferma nelle linee guida, espressamente richiamate dal provvedimento in esame, “può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati. A seconda delle attività, delle dimensioni e della struttura organizzativa del titolare o del responsabile, si possono indicare le seguenti buone prassi:
- individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
- redigere regole interne a tale scopo onde evitare conflitti di interessi;
- prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
- dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
- prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il RPD sia designato fra soggetti interni o esterni all’organizzazione”.
Nel caso di specie, si rilevava una violazione della normativa, in quanto non era stata pianificata l’analisi dei conflitti di interesse tra due funzioni svolte dalla stessa persona all’interno dello stesso ente.
Il ruolo di controllo del DPO
In qualità di “verificatore”, il DPO può, nell’ambito dei suoi compiti di controllo:
- raccogliere informazioni per il corretto censimento delle attività di trattamento;
- analizzare e verificare la conformità delle singole attività di trattamento;
- informare e consigliare il titolare o il responsabile sulle giuste azioni da intraprendere per garantire la compliance, anche mediante la formulazione di raccomandazioni nei suoi confronti.
Dalle indagini condotte dalla CNPD è emerso che l’ente in questione non aveva formalizzato procedure di controllo sul tema della protezione dei dati.
In una logica di gestione quotidiana della protezione dei dati, tenuto conto anche del volume dei dati trattati e della sensibilità di alcuni di questi dati, si riteneva, invece, che i compiti di controllo del DPO fossero meglio formalizzati, ad esempio, con l’istituzione di un preciso “piano di controllo”, anche mediante l’utilizzo di fornitori di servizi esterni che consentano di verificare la conformità al GDPR della struttura del titolare.
Tuttavia, l’ausilio di fornitori di servizi esterni deve essere anch’esso adeguatamente formalizzato, non potendo comportare una “delega” dei compiti di monitoraggio espressamente demandati al DPO. Al DPO si concede, invece, la partecipazione alla formalizzazione del “piano di controllo” e l’affiancamento ai fornitori esterni demandati alla verifica della compliance aziendale, integrando l’incarico affidato con la conoscenza e le competenze di cui è dotato.
Nel caso di specie, si rilevava che il titolare non aveva dimostrato la formalizzazione, all’inizio dell’audit, di un piano di controllo né che il DPO esterno allora in carica avesse coadiuvato i controlli effettuati dai fornitori di servizi esterni.