I DPO, i responsabili della protezione dei dati, finiscono sotto la lente dell’EDPB, il Comitato europeo per la protezione dei dati. L’EDPB ha infatti avviato una nuova attività di indagine coordinata sul loro ruolo, in ambito GDPR.
“L’European Data Protection Board (EDPB)”, commenta Ivan Rotunno, avvocato dello studio legale Orrick, “ha annunciato la seconda iniziativa nell’ambito del Coordinated Enforcement Framework (CEF) che riguarderà l’analisi della figura del responsabile della protezione dei dati (RPD o DPO), con particolare riferimento alla designazione e alla posizione ricoperta dallo stesso nella compagine aziendale”.
Ecco come si muoveranno le autorità di controllo per svolgere le attività previste dal CEF a livello nazionale.
Indice degli argomenti
L’attenzione dei Garanti europei sul ruolo dei DPO
Per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023), sono coinvolte 26 Autorità di controllo dello Spazio Economico Europeo (SEE), tra cui anche il Garante privacy italiano e quello europeo della protezione dei dati.
L’azione intrapresa è un passaggio rilevante per attuare il GDPR ed è la seconda dopo l’indagine coordinata dell’EDPB sui servizi cloud PA. Infatti, concretizza le disposizioni del GDPR riguardo al coordinamento fra le varie autorità, per applicare in modo coerente e omogeneo la normativa.
Il CEF 2023 si concentra sulla designazione e la posizione dei responsabili della protezione dei dati (RPD).
“Per quanto di nostra conoscenza”, continua Ivan Rotunno, “l’Autorità Garante ha già avviato in alcuni settori specifici questa iniziativa sui DPO”.
“L’auspicio”, conclude Rotunno, “è che questa modalità operativa diventi uno strumento che consenta alle autorità di vigilanza di comprendere meglio il contesto nel quale è data attuazione al dettato normativo e di fornire utili criteri di interpretazione della normativa”.
I responsabili della protezione dei dati operano in qualità di “intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati”, spiega in una nota il Garante privacy italiano. Dunque il loro ruolo è cruciale per “contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati”, continua la nota.
Con questa indagine, le autorità di controllo intendono dunque accendere un faro sul ruolo dei DPO, nel rispetto del GDPR e “nei termini previsti dagli articoli 37-39 RGPD”, verificando se “dispongano delle risorse necessarie per svolgere i propri compiti”, prosegue la nota. Ecco come si muoveranno le autorità di controllo per concretizzare le attività previste dal CEF a livello nazionale.
EDPB sui DPO: come funziona
Le autorità di controllo svolgeranno le attività previste dal CEF 2023 a livello nazionale in tre modi: attraverso questionari ai DPO; tramite accertamenti formali; e follow-up di quelli in corso.
In particolare, i questionari spediti ai DPO permetteranno di semplificare la raccolta di elementi istruttori, al fine di “individuare la necessità di accertamenti formali”, come sottolinea la nota dell’Authority italiana.
Le autorità di controllo metteranno i risultati dell’indagine congiunta sotto lente, in maniera coordinata, per valutare eventuali ulteriori azioni a livello nazionale.
L’aggregazione dei risultati, inoltre, consentirà “un’analisi più approfondita con un follow-up mirato a livello dell’UE”, conclude la nota.
