Ruolo e riconoscimento del ruolo di Data Protection Officer, i risultati dell'indagine delle autorità europee
Durante la sua ultima sessione plenaria, l'European Data Protection Board (EDPB) ha adottato una relazione sui risultati della sua seconda azione coordinata di applicazione, incentrata sulla designazione e la posizione dei Data Protection Officer (Coordinated Enforcement Action, Designation and Position of Data Protection Officers).
(Nella foto: Anu Talus, presidente dell'European Data Protection Board)
La relazione è il risultato di un'indagine coordinata a livello dell'Unione Europea ed elenca gli ostacoli attualmente incontrati dai DPO, insieme a una serie di raccomandazioni per rafforzare ulteriormente il loro ruolo.
Anu Talus, presidente dell'EDPB, ha dichiarato: "Il quadro coordinato di applicazione consente alle autorità per la protezione dei dati di cooperare più strettamente su temi selezionati al fine di conseguire una maggiore efficienza e maggiore coerenza. I Data Protection Officer svolgono un ruolo importante nel contribuire al rispetto della legge sulla protezione dei dati e nel promuovere una protezione efficace dei diritti degli interessati. Attraverso il Coordinated Enforcement Action, le autorità di protezione dei dati hanno esaminato se i DPO abbiano i mezzi per svolgere i loro compiti, come richiesto dal GDPR. La relazione fornisce un'analisi delle sfide affrontate dai Data Protection Officer insieme a punti di attenzione e raccomandazioni per affrontare tali sfide."
Nel corso del 2023, 25 autorità di protezione dei dati in tutto lo Spazio Economico Europeo (compreso il Garante Europeo per la protezione dei dati) hanno avviato indagini coordinate su questo tema. Varie organizzazioni, così come gli stessi DPO, sono stati contattati in tutto lo SEE, coprendo un'ampia gamma di settori pubblici e privati e sono state ricevute e analizzate oltre 17.000 risposte. Sono stati raccolti dati estesi che offrono preziose informazioni sul profilo, la posizione e il lavoro dei DPO a 5 anni dalla definitiva entrata in vigore del GDPR.
I risultati sono stati incoraggianti, nonostante alcune preoccupazioni e sfide affrontate da alcuni Data Protection Officer, come la mancanza di designazione anche se obbligatoria, le insufficienti risorse o conoscenze specialistiche per i DPO, la mancanza di incarico di tutti i compiti richiesti a questa figura dal diritto in materia di protezione dei dati, e la mancanza di indipendenza o di segnalazione al top management.
La maggior parte dei Data Protection Officer intervistati ha dichiarato di possedere le competenze e le conoscenze necessarie per svolgere il proprio lavoro e ricevere regolarmente corsi di formazione, e che hanno compiti chiaramente definiti in linea con il GDPR, non ricevendo istruzioni su come esercitare le loro funzioni. Inoltre, hanno indicato di essere consultati nella maggior parte dei casi e di avere informazioni sufficienti per svolgere i loro compiti, e che i loro pareri sono seguiti abbastanza bene. Inoltre, la maggior parte di essi considera che hanno i mezzi per svolgere il proprio lavoro. Tuttavia, ci sono ancora troppi DPO che non si trovano in tale posizione.
Al fine di affrontare le sfide individuate, la relazione elenca alcune raccomandazioni per le organizzazioni, i Data Protection Officer e le autorità di protezione dei dati volte a rafforzare l'indipendenza dei DPO e a garantire che dispongano delle risorse necessarie per svolgere i loro compiti. Tra l'altro, la relazione incoraggia le autorità di protezione dei dati a svolgere maggiori attività di sensibilizzazione, informazione e applicazione delle norme. Il rapporto incoraggia inoltre le organizzazioni a garantire che i DPO abbiano sufficienti opportunità, tempo e risorse per aggiornare le loro conoscenze e conoscere gli ultimi sviluppi.
La relazione è accompagnata da due appendici: le statistiche raccolte nel corso di questa azione e le relazioni nazionali di ciascuna autorità di protezione dei dati partecipante.
Il Coordinated Enforcement Action è un'azione chiave dell'European Data Protection Board nell'ambito della sua strategia 2021-2023, volta a razionalizzare l'applicazione e la cooperazione tra le autorità di protezione dei dat, e la sua prossima attività che sarà svolta nel 2024 verterà sull' attuazione del diritto di accesso da parte dei titolari del trattamento.
Fonte: European Data Protection Board