Il DPO in Europa e in Italia: lo stato dell’arte di questo ruolo strategico, dopo cinque anni di GDPR

La strategia dello European Data Protection Board (EDPB) per il periodo 2020-2023 era fondata su tre pilastri, uno dei quali era collegato alla coerenza dell’applicazione negli Stati membri della normativa in materia di protezione dei dati personali e sulla cooperazione tra Autorità di controllo.

Le azioni chiave collegate a questo pilastro includevano anche la costituzione di un Pool of Experts a supporto delle Autorità e l’implementazione di un Coordinated Enforcement Framework (CEF).

È nell’ambito di quest’ultima iniziativa che 25 Autorità privacy europee hanno avviato, nel corso del 2023, un’indagine coordinata sul ruolo del Data Protection Officer (DPO), istituito dal GDPR.

DPO e OdV insieme per prevenire reati informatici e data breach: come creare un cyber shield

Il DPO in Europa e in Italia: il quadro generale

Numerose organizzazioni (sia pubbliche che private, appartenenti a industries e settori diversi) e DPO sono stati contattati in tale contesto, con il fine di comprendere come sia stato interpretato questo ruolo a livello pratico, dopo un lustro di efficacia del regolamento europeo sulla protezione dei dati personali.

In particolare, sono stati inviati 60.000 questionari e sono state ricevute e analizzate oltre 17.000 risposte, fornite da enti pubblici, da aziende (oltre 12.000) e da DPO (oltre 2.000). È certamente significativo, per l’interpretazione dell’esito del report, il fatto che la partecipazione sia stata piuttosto ristretta. Probabilmente, nelle situazioni meno virtuose si è preferito non fornire i feedback richiesti.

Il quadro che emerge dal report del 16 gennaio 2024, in ogni caso, a livello generale è positivo. I DPO, infatti, in larga misura dichiarano di:

1. avere le competenze necessarie per svolgere il proprio lavoro;
2. essere sufficientemente formati;
3. vedere loro attribuiti compiti conformi ai requisiti della legge, definiti in modo chiaro;
4. ricevere informazioni corrette per adempiere alle proprie mansioni;
5. non essere condizionati nello svolgimento del proprio operato;
6. venire consultati nella maggior parte delle situazioni che riguardano il trattamento dei dati personali.

Nei casi di nomina interna, la maggior parte dei DPO fa parte della function legal/compliance (quasi il 35%). Una buona percentuale dei nominati fa parte delle prime linee (11%). Appartengono alla funzione IT l’8% dei DPO e solo il 2% a HR.

I gap più rilevanti riscontrati

Dallo studio risulta che troppi DPO non si trovano ancora in una posizione che li ponga nella condizione di lavorare efficacemente o in modo del tutto conforme ai requisiti normativi.

Le principali criticità che sono state riscontrate attengono alla:

1. mancata nomina del DPO in molti casi, anche nelle ipotesi in cui risulta obbligatoria;
2. insufficienza delle risorse allocate per lo svolgimento delle funzioni (in Italia, solo il 65% dei DPO che hanno partecipato al progetto ritiene che le risorse a loro disposizione siano adeguate);
3. mancata attribuzione di tutti i poteri necessari (nel nostro paese, solo la metà dei soggetti nominati è dedicata a tempo pieno ai compiti propri del DPO);
4. carenza di indipendenza, combinata talvolta alla presenza di conflitti di interesse (dovuti, in alcuni casi, anche all’attribuzione della responsabilità rispetto ai trattamenti e alla loro liceità, alla redazione e negoziazione di contratti, allo sviluppo di processi aziendali);
5. assenza di riporto al vertice gerarchico.

Le raccomandazioni per alzare il livello di compliance

Il report, oltre a fotografare questa situazione, è una preziosa guida operativa poiché include, fra altre, anche le seguenti raccomandazioni (rivolte, a seconda dei casi, alle organizzazioni, ai DPO e alle Autorità di controllo):

1. promuovere iniziative per aumentare l’awareness delle organizzazioni rispetto all’importanza della nomina del DPO;
2. verifica da parte del management delle risorse che risultano necessarie affinché i compiti del DPO possano essere svolti efficacemente, caso per caso, approntando anche la documentazione necessaria a dimostrare le valutazioni svolte;
3. nei casi di nomina interna, assicurare ai DPO tempo e risorse sufficienti per il proprio aggiornamento, considerando le costanti evoluzioni del framework legale di riferimento, anche alla luce delle numerose normative sul digitale, già approvate o in via di definizione a livello europeo, tra cui il regolamento in materia di intelligenza artificiale;
4. mantenere una adeguata separazione tra gli obblighi e le responsabilità degli enti, da un lato, e quelli dei DPO, dall’altro;
5. promuovere attivamente all’interno delle organizzazioni il DPO, affinché la rilevanza dei compiti affidati a questo ruolo siano chiari a tutta la popolazione aziendale e venga di conseguenza offerto il supporto necessario;
6. coinvolgere strutturalmente il DPO in tutte le situazioni delicate connesse ai dati – tra cui quelle che vedono il coinvolgimento di un’Autorità – per rafforzare l’impatto della figura all’interno dell’organizzazione;
7. verificare l’adeguatezza dei presidi adottati per evitare conflitti di interesse;
8. facilitare l’accesso del DPO al top management, anche a garanzia dell’indipendenza del ruolo.

La prospettiva del Garante

Alcuni aspetti di particolare interesse emergono dall’allegato al report dell’EDPB che riporta le indicazioni di dettaglio fornite dall’Autorità di controllo italiana, il Garante per la protezione dei dati personali.

Di seguito, alcune delle ulteriori raccomandazioni che è possibile desumere da tale documento e che è opportuno considerare per rimediare eventuali disallineamenti ovvero per innalzare il livello di conformità in questo ambito:

1. in caso si individui un top manager per ricoprire la funzione di DPO, verificare l’assenza di conflitti di interesse;
2. nelle nomine di gruppo, assicurarsi che il supporto fornito dal DPO sia adeguato rispetto alle esigenze di tutte le entità, che le risorse a disposizione siano sufficienti, che i dati di contatto siano comunicati correttamente (non solo per la capogruppo) e pubblicati come richiesto dalla legge;
3. limitare la nomina a quei soggetti che siano dotati delle necessarie qualificazioni professionali, considerato che l’assenza di specifica expertise è in contrasto con la ratio della norma e annulla il contributo sostanziale che il DPO può fornire all’organizzazione;
4. individuare una figura in grado di adempiere pienamente ai compiti propri del ruolo, risultando inadeguata una persona che possa dedicare a questi solo una parte marginale del proprio tempo; lo svolgimento da parte del DPO di attività ulteriori, peraltro, potrebbe limitarne l’indipendenza e generare conflitti di interesse;
5. affidare lo svolgimento dei compiti anche a un team, ove ciò si renda opportuno, o individuare un deputy DPO, prassi ancora poco diffuse;
6. oltre al riporto interno a varie funzioni su base ricorrente, assicurare che i flussi informativi siano diretti altresì verso il top management, anche in un’ottica di corretta gestione dei rischi;
7. in caso di eventuale discostamento di una decisione dell’organizzazione rispetto al parere espresso dal DPO, documentare i motivi;
8. rafforzare laddove possibile il coinvolgimento del DPO, per dare concreta attuazione ai principi di accountability e di privacy by design e by default.

Infine, il Garante sottolinea che per alzare il livello di awareness sui temi privacy e data protection all’interno di ogni realtà, il DPO rappresenti una vera e propria risorsa a disposizione del titolare.

Una considerazione che risulta pienamente condivisa, anche nella diversa prospettiva del professionista.

Le sanzioni

L’EDPB ha colto l’occasione del rilascio del report anche per ricordare la possibile applicazione di sanzioni pecuniarie alle organizzazioni che non si conformano ai requisiti previsti dagli articoli da 37 a 39 del GDPR (le disposizioni che disciplinano la figura e i compiti del DPO), che per queste violazioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato di gruppo.

Peraltro, rispetto ai temi critici che emergono nel contesto di questa analisi, le Autorità privacy europee hanno già emesso, da maggio 2018 in avanti, numerosi provvedimenti sanzionatori. Solo il Garante, tra il 2021 e il 2022, ne ha emessi undici.

DPO interno vs esterno

Focalizzando in conclusione il tema “classico” del confronto tra DPO interno ed esterno, questo quadro sembra confermare quanto emerso a livello operativo negli scorsi anni. La nomina di una figura interna ha quale principale vantaggio una migliore conoscenza da parte del manager designato del contesto di riferimento, il che può senz’altro contribuire a uno svolgimento efficace dei compiti, naturalmente in assenza di ostacoli posti da altre figure interne portatrici di interessi divergenti.

L’attribuzione a un consulente esterno dei compiti strategici del DPO, invece, assicura normalmente una maggiore indipendenza, l’assenza di conflitti di interesse e una più alta preparazione, poiché le esperienze professionali maturano supportando realtà differenti, arricchendosi nella varietà degli scenari.

La conoscenza profonda dell’organizzazione, in questo caso, deve essere raggiunta anche tramite un costante coordinamento con le persone chiave dell’azienda o della PA.

Una considerazione finale merita l’estensione dell’ambito di competenza del DPO con riferimento alle nuove sfide legate all’uso, alla protezione e alla valorizzazione dei dati, in particolare tenendo conto dell’impatto in ogni settore dell’Intelligenza Artificiale e della diffusione capillare di questa tecnologia.

L’UE ha varato un programma di innovazione legislativa in ambito tech molto ambizioso, proponendo la propria leadership mondiale sulla normazione del digitale e dell’IA, nel solco del successo del GDPR.

In quest’ottica, il consulente esterno può risultare maggiormente idoneo, rispetto a una figura aziendale, a monitorare il complesso framework legale connesso ai dati, a supportare l’organizzazione nell’individuazione dell’impatto delle nuove regole sul business e a strutturare presidi obbligatori e iniziative strategiche.