Il DPO: uno sguardo ad alcuni provvedimenti sanzionatori in Europa

28 Dic Il DPO: uno sguardo ad alcuni provvedimenti sanzionatori in Europa

Posted at 13:57h in Privacy and Data Protection by ICTLC Italy

Il Responsabile della Protezione dei Dati (o Data Protection Officer; di seguito, solo “DPO”), è senza dubbio una delle figure centrali in materia di protezione dei dati personali e la sua designazione risulta per molti aspetti essenziale per garantire il rispetto del principio di accountability, come abbiamo già avuto modo di evidenziare con il precedente contributo “Il DPO come misura a garanzia dell’accountability. Linee guida e accorgimenti alla luce della giurisprudenza delle Autorità di Controllo europee”[1].

Stante la crucialità di questa figura – nuova per alcuni ordinamenti, come quello italiano – il Gruppo di Lavoro Articolo 29 (“WP29”), divenuto successivamente Comitato europeo per la protezione dei dati, ha da subito ritenuto opportuno fornire indicazioni alle Autorità di controllo e così anche agli operatori del settore e alle organizzazioni mediante le “Linee guida sui responsabili della protezione dei dati”[2]. A livello nazionale, il Garante per la protezione dei dati personali ha poi fornito il proprio ulteriore contributo mediante specifiche FAQ dedicate al settore privato[3] e a quello pubblico[4]. Tutti questi contributi si sono resi necessari per chiarire i casi di obbligatorietà di designazione del DPO e le specifiche caratteristiche che deve possedere, come pure le condizioni da offrire per garantire efficacia ed autonomia a tale funzione.

La complessità di questa figura e dei suoi compiti è confermata dalle non poche pronunce e sanzioni già emesse dalle diverse Autorità di controllo europee, che così hanno ulteriormente indirizzato le organizzazioni al rispetto degli artt. 37-39 del Regolamento UE 679/2016 (“GDPR”). Tra queste pronunce, si ricorda la recente sanzione dell’Autorità di controllo lussemburghese[5], che, per la prima volta, ha precisato che i requisiti qualitativi di un DPO (ai sensi dell’art. 37(5) del GDPR) possono essere soddisfatti se questi ha maturato almeno tre anni di esperienza professionale in materia di protezione dei dati. Nel citato provvedimento è stato inoltre contestato il ruolo “passivo” del DPO, in quanto la presenza alle riunioni senza una formalizzazione apposita né un piano di controllo adeguato sono stati ritenuti inidonei a considerare che il coinvolgimento del DPO potesse considerarsi “adeguato e tempestivo” ai sensi dell’art. 38(1) GDPR; allo stesso modo, è stato censurato il non aver valutato il conflitto di interesse tra le diverse funzioni svolte dal DPO a beneficio della stessa organizzazione.

Sul dover assicurare l’assenza di un conflitto di interesse si trovano ulteriori provvedimenti sanzionatori che vanno a chiarire le indicazioni riportate nelle già menzionate linee guida del WP29, con i quali è stata ritenuta non adeguata ed è stata sanzionata la designazione a DPO:

- - - - dell’IT manager;
        
        del responsabile del dipartimento compliance e del responsabile delle segnalazioni antiriciclaggio;
        
        del capo dei dipartimenti internal audit, risk and compliance.

L’accertata presenza di un conflitto di interesse o la mancata analisi di una sua assenza sono stati oggetto di sanzioni pecuniarie che sono arrivate fino a 50.000 euro.

Più in generale, ciò che viene confermato dai provvedimenti richiamati è l’assunto per cui i conflitti di interessi ricorrano ogniqualvolta il DPO si trovi a rivestire un ruolo che lo porti a concorrere alle dinamiche decisionali e genetiche delle attività di trattamento; tuttavia, nulla esclude quindi che un ruolo non di vertice e gerarchicamente inferiore a quelli manageriali possa far sorgere una sua incompatibilità se esso comporta concretamente la determinazione di finalità e mezzi del trattamento.

Ad integrazione delle precisazioni già offerte, deve aggiungersi che, se l’errata designazione di un DPO può costare cara, anche lo stesso difetto della sua nomina può comportare gravose conseguenze sanzionatorie, come confermano i provvedimenti emessi nei confronti di:

- - - - un comune italiano[6];
        
        il Ministero dello Sviluppo Economico italiano[7];
        
        Glovoapp23 SL, sanzionata dall’Autorità di controllo spagnola[8];
        
        una società (spagnola) operante nel settore della sicurezza privata[9];
        
        una società (spagnola) operante nel settore del gioco d’azzardo[10];
        
        un titolare austriaco attivo nel settore medico[11];
        
        un fornitore di servizi di telecomunicazione, sanzionato dall’Autorità tedesca Federal Commissioner for Data Protection and Freedom of Information[12].

Raccomandazioni

Dalle sanzioni comminate per il mancato rispetto dei requisiti relativi alla figura del DPO, è possibile comprenderne la sua centralità.

Per rispettare quanto richiesto e non esporsi a sanzioni rispetto alla figura del DPO, sarà dunque indispensabile:

- - - - dapprima verificare la ricorrenza di uno degli obblighi di designazione di cui all’art. 37 del GDPR;
        
        nei casi in cui non sussista alcun obbligo, valutarne comunque l’effettiva necessità o opportunità in un’ottica di accountability;
        
        ove questa sia ravvisata, comprendere quale soggetto sia in grado di garantire i profili di professionalità ed esperienza, necessari per l’espletamento dell’attività;
        
        evitare situazioni che espongano il DPO a conflitti di interesse, e ove ritenuto necessario, anche in ottica di accountability, predisporre piani di controllo dei potenziali conflitti di interesse che potrebbero venire a creare nell’esercizio di altre funzioni, oltre a quella di DPO; occorre poi documentare lo svolgimento di tale analisi;
        
        comunicare i dati del DPO all’Autorità di controllo di riferimento;
        
        pubblicare i dati di contatto del DPO, rendendolo così facilmente raggiungibile dal personale dell’organizzazione, dagli altri interessati e dall’Autorità di controllo;
        
        garantire idonee risorse al DPO, in modo che questi possa validamente espletare la propria attività in modo proattivo, sia in termini di budget, che di staff che, ancora, di tempo da riservare effettivamente alla funzione;
        
        garantire al DPO la possibilità di riportare direttamente ai soggetti apicali senza alcuna intermediazione e/o mediazione che possa influenzarne l’attività;
        
        coinvolgere il DPO in tutte le questioni riguardanti la protezione dei dati personali e formalizzare la sua partecipazione ad esse, conservando traccia documentale della sua avvenuta consultazione e delle ragioni che potranno portare l’organizzazione a discostarsi dalle sue raccomandazioni;
        
        coinvolgere il DPO nelle valutazioni di impatto e analisi dei rischi privacy;
        
        non adottare decisioni o provvedimenti che possano penalizzare il DPO nello svolgimento dei propri compiti.

Emerge quindi con evidenza come la figura del DPO e gli adempimenti connessi presentano considerevoli rischi che richiedono una doverosa e attenta attività di compliance.

[1] Il DPO come misura a garanzia dell’accountability. Linee guida e accorgimenti alla luce della giurisprudenza delle Autorità di Controllo europee

https://www.ictlc.com/il-dpo-come-misura-a-garanzia-dellaccountability-linee-guida-e-accorgimenti-alla-luce-della-giurisprudenza-delle-autorita-di-controllo-europee/

[2] Linee Guida sui responsabili della protezione dei dati del Gruppo di lavoro articolo 29, pubblicate in data 13 dicembre 2016 ed emendate in data 5 aprile 2017: https://ec.europa.eu/newsroom/article29/items/612048

[3] Le Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato del Garante per la protezione dei dati personali sono disponibili al seguente link: https://www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato

[4] Responsabile della protezione dei dati (RPD) in ambito pubblico: le nuove FAQ del Garante sono consultabili a questo link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7388193

[5] Provvedimento dell’Autorità di controllo lussemburghese del 15 ottobre 2021: https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-38FR-2021-sous-forme-anonymisee.pdf

[6] Provvedimento del Garante per la protezione dei dati personali nei confronti del Comune di Luino https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9557593

[7] Sanzione del Garante per la protezione dei dati personali nei confronti del Ministero dello Sviluppo Economico https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9556705#1

[8] Provvedimento dell’Autorità di controllo spagnola nei confronti di Glovoapp23 S.L.: https://www.aepd.es/es/documento/ps-00417-2019.pdf

[9] Provvedimento dell’Autorità di controllo spagnola nei confronti di Conseguridad SL: https://www.aepd.es/es/documento/ps-00251-2020.pdf

[10] Provvedimento dell’Autorità di controllo spagnola nei confronti di ACONCAGUA JUEGOS S.A.: https://www.aepd.es/es/documento/ps-00231-2021.pdf

[11] Sanzione dell’Autorità di controllo austriaca nei confronti di un titolare operante nel settore medicale: https://edpb.europa.eu/news/national-news/2019/austrian-dpa-fines-controller-medical-sector_en

[12] Provvedimento della Federal Commissioner for Data Protection and Freedom of Information: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2019/30_BfDIverh%c3%a4ngtGeldbu%c3%9fe1u1.html

Tags:

Accountability, compliance, Data Protection, data protection officer, dpo, gdpr, Privacy, sanzioni

ICTLC Italy

italy@ictlegalconsulting.com

INFO

Links

Informative