Data Protection Officer, i risultati dell'indagine delle autorità europee

Durante la recente sessione plenaria, l'European Data Protection Board (EDPB) in una relazione ha reso noti i risultati della sua seconda azione coordinata di applicazione, incentrata sulla designazione e sul ruolo dei Data Protection Officer (Coordinated Enforcement Action, Designation and Position of Data Protection Officers).

Il commento di Anu Talus, presidente dell'EDPB: "Il quadro coordinato di applicazione consente alle autorità per la protezione dei dati di cooperare più strettamente su temi selezionati al fine di conseguire una maggiore efficienza e maggiore coerenza. I Data Protection Officer svolgono un ruolo importante nel contribuire al rispetto della legge sulla protezione dei dati e nel promuovere una protezione efficace dei diritti degli interessati. Attraverso il Coordinated Enforcement Action, le autorità di protezione dei dati hanno esaminato se i DPO abbiano i mezzi per svolgere i loro compiti, come richiesto dal GDPR. La relazione fornisce un'analisi delle sfide affrontate dai Data Protection Officer insieme a punti di attenzione e raccomandazioni per affrontare tali sfide."

Indagini coordinate

Sono state 25 le autorità di protezione dei dati in tutto lo Spazio Economico Europeo - incluso il Garante Europeo per la protezione dei dati - che nel corso del 2023 hanno avviato indagini coordinate su questo tema. Sono stati contattate diverse organizzazioni e gli stessi DPO, coprendo un'ampia gamma di settori pubblici e privati, e sono state ricevute e analizzate oltre 17.000 risposte. I dati raccolti offrono informazioni importanti sul profilo, la posizione e il lavoro dei DPO a 5 anni dalla definitiva entrata in vigore del GDPR.

I risultati sono stati incoraggianti, nonostante alcune preoccupazioni e sfide affrontate da alcuni Data Protection Officer, come la mancanza di designazione anche se obbligatoria, le insufficienti risorse o conoscenze specialistiche per i DPO, la mancanza di incarico di tutti i compiti richiesti a questa figura dal diritto in materia di protezione dei dati, e la mancanza di indipendenza o di segnalazione al top management.

La maggior parte dei Data Protection Officer intervistati ha affermato di essere in possesso delle competenze e conoscenze necessarie per svolgere il proprio lavoro e ricevere regolarmente corsi di formazione. I loro compiti risultano ben definiti in linea con il GDPR, e non ricevono istruzioni sul modo in cui esercitare le loro funzioni. Hanno inoltre indicato di essere consultati nella maggior parte dei casi e di avere informazioni sufficienti per svolgere i loro compiti, e che i loro pareri sono seguiti abbastanza bene. La maggior parte di essi ritiene di avere i mezzi per svolgere il proprio lavoro. Emerge però che vi sono ancora troppi DPO che non si trovano in tale posizione.

Le aree di miglioramento individuate

Per poter meglio affrontare le sfide che sono emerse, la relazione indica alcune raccomandazioni per le organizzazioni, i Data Protection Officer e le autorità di protezione dei dati, utili per rafforzare l'indipendenza dei DPO e garantire che dispongano delle risorse necessarie per lo svolgimento dei loro compiti. La relazione incoraggia inoltre le autorità di protezione dei dati a svolgere maggiori attività di sensibilizzazione, informazione e applicazione delle norme. Il rapporto incoraggia inoltre le organizzazioni a garantire che i DPO abbiano sufficienti opportunità, tempo e risorse per aggiornare le loro conoscenze e conoscere gli ultimi sviluppi.

Due le appendici: le statistiche raccolte nel corso di questa azione e le relazioni nazionali di ciascuna autorità di protezione dei dati partecipante.

Il Coordinated Enforcement Action è un'azione chiave dell'European Data Protection Board nell'ambito della sua strategia 2021-2023, volta a razionalizzare l'applicazione e la cooperazione tra le autorità di protezione dei dat, e la sua prossima attività che sarà svolta nel 2024 verterà sull' attuazione del diritto di accesso da parte dei titolari del trattamento.