Tenendo fede all’impegno di un’applicazione coerente della normativa in materia di protezione dei dati personali e di una cooperazione tra Autorità di controllo, in occasione dell’ultima plenaria, il Comitato europeo per la protezione dei dati ha reso noto l’esito di un’indagine condotta da 25 autorità di protezione dei dati dell’UE e dello Spazio economico europeo riguardo al ruolo, la designazione e la posizione dei Data Protecion Officer.

La relazione, frutto di un’analisi avviata nel corso del 2023, raccoglie oltre 17.000 riscontri di titolari e responsabili per la protezione dei dati provenienti da molteplici settori,sia pubblici che privati. I dati analizzati consentono di costruire un quadro piuttosto significativo rispetto alla posizione e all’attività del DPO, senza dubbio un ruolo ancora piuttosto giovane a livello professionale, ma che a distanza di sei anni dall’entrata in vigore del Regolamento europeo è già possibile interpretare a livello pratico.   

Un primo dato significativo riguarda proprio il numero delle risposte raccolte: rispetto ai 60.000 soggetti coinvolti, solo 17.490 hanno fornito una risposta e di queste solo una piccola percentuale appartiene a Responsabili della protezione dei dati, mentre la maggioranza dei riscontri proviene dalle stesse organizzazioni. Un aspetto non certamente trascurabile, che potrebbe aver influenzato considerevolmente l’esito dell’indagine.

A dispetto della partecipazione limitata, i dati raccolti offrono una panoramica molto interessante e una chiara visione delle principali criticità riscontrate, che devono fungere da punto di partenza per rimediare ai gap.

Tra le maggiori difficoltà evidenziate dal report, emerge la mancata nomina del responsabile della protezione dei dati, anche per le società o Enti in cui tale figura risulti obbligatoria. Un dato assolutamente sconcertante se si pensa che il Regolamento è pienamente applicabile dal 2018 e che mette in luce la mancata conformità di molte realtà al quadro normativo vigente.

Se pensiamo a gran parte delle società di informatica che si occupano di cloud, di manutenzione o sviluppo e che trattano in modo diretto o incidentale dati per i quali dovrebbero essere costantemente allineate al tema privacy, nonostante quanto evidenziato da parte dal Garante italiano, una gran parte di esse non ha ancora provveduto ad alcuna nomina.

Scarsità di risorse e conoscenze sono ulteriori punti deboli rilevati che non consentono di rispondere in maniera efficace alle sfide che tale ruolo è chiamato a fronteggiare. Il contesto legal-tech, in continua evoluzione, richiede un effort considerevole in termini di risorse e formazione e amplia in maniera significativa il campo di attività e conseguenti responsabilità del DPO. Sollecitato da incarichi sempre maggiori e gravosi, da responsabilità crescenti e non supportato da risorse affiancate alla funzione, il report descrive addirittura il “burnout” tra le potenziali conseguenze.

Proseguendo nell’analisi dei risultati dell’indagine si riscontrano segnalazioni che mettono in evidenza una scarsa chiarezza nella definizione dei compiti del DPO: se da un lato in alcune organizzazioni manca una piena consapevolezza del ruolo svolto, in altre emerge come tale funzione venga ricoperta da soggetti non adeguati, che talvolta, per i ruoli ricoperti, generano un conflitto di interessi rispetto all’incarico di Responsabile per la protezione dei dati. Il fatto che la funzione venga assunta da CEO, CFO o Responsabili di Direzioni, genera non poca preoccupazione e tale circostanza, a ben vedere, non consente di esercitare un controllo indipendente e oggettivo rispetto ai trattamenti dei dati effettuati, alle scelte organizzative in essere o pianificate e agli investimenti.

In altre situazioni, invece, la problematica riscontrata è di altra natura: è questo il caso in cui il DPO non gode della necessaria autonomia decisionale, o indipendenza che dir si voglia. Talvolta, infatti, accade che il responsabile per la protezione dei dati non possa contare su un canale di dialogo diretto con i vertici aziendali e questo è un serio ostacolo all’esercizio sia delle funzioni che della propria responsabilità.

In un momento in cui una serie di normative del settore digital si trova in una fase di sviluppo decisiva o prossima all’entrata in vigore – dalla NIS2 all’AI ACT – il DPO è soggetto ad ulteriori evoluzioni e assumerà un ruolo chiave per tradurre le nuove disposizioni nell’ecosistema aziendale. Ragione in più per cui diviene fondamentale, per imprese e PA, valutare attentamente sia i soggetti incaricati a svolgere tale funzione che le modalità con cui gli stessi sono supportati e coinvolti nei processi.

Il report non si limita ad una panoramica statica delle criticità, ma offre importanti spunti per fronteggiare concretamente le nuove sfide, suggerendo una serie di raccomandazioni, alcune rappresentate in modo esplicito, altre deducibili dal documento stesso, prima tra tutte, la designazione del DPO per le strutture obbligate, tutt’oggi inadempienti.

Maggiori risorse in termini di budget e tempo sono altre importanti esortazioni per potenziare il ruolo del DPO, che dovrà essere sostenuto anche da un aggiornamento costante rispetto al quadro normativo di riferimento in continuo sviluppo. Parimenti, il Responsabile della protezione dei dati dovrà poter contare su maggiori margini di autonomia e sulla possibilità di svolgere la propria funzione senza interferenze e con un dialogo diretto con i vertici aziendali. I suoi compiti dovranno essere ben definiti e conosciuti anche dal resto della popolazione aziendale, in modo tale da essere coinvolto attivamente nelle attività che abbiano a che fare con il trattamento dei dati personali.

Queste sono solo alcune delle principali raccomandazioni citate nel documento dell’EDPB che, in chiusura del report, non manca di ricordare alle organizzazioni le conseguenze sanzionatorie previste per la non conformità agli articoli da 37 a 39 del GDPR (le disposizioni che disciplinano la figura e i compiti del DPO), che possono raggiungere i 10 milioni di euro o il 2% del fatturato di gruppo.