Lo European Data Protection Board (Edpb) è un organismo indipendente che, all’interno dell’UE, ha il compito di garantire che il Gdpr e le direttive di applicazione delle leggi sulla protezione dei dati siano applicati coerentemente nei Paesi dell’Unione. Oltre a questo promuove la cooperazione fra le autorità nazionali preposte alla protezione dei dati. Suo il compito di fornire linee guida, orientamenti, raccomandazioni, best practice di chiarimento del regolamento, l”interpretazione coerente, la consulenza alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa di particolare importanza sul tema. Dell’Edpb quindi anche il compito indicare le aree di miglioramento per promuovere il ruolo ed il riconoscimento dei responsabili della protezione dei dati (Rpd).
In particolare l’Edpb, durante l’ultima sessione plenaria e sulla scorta dei risultati dello studio Coordinated Enforcement Action, Designation and Position of Data Protection Officers, ha relazionato su come individuare possibili miglioramenti nella messa a fuoco della posizione e del ruolo dei responsabili della protezione dei dati. Lo studio è il risultato di un’indagine coordinata a livello UE e considera gli ostacoli attualmente incontrati dagli Rpd unitamente ad una serie di raccomandazioni per rafforzarne ulteriormente il ruolo con numeri e appendici (sui risultati nazione per nazione).
Base di partenza le indagini che 25 autority di protezione dei dati in tutto lo Spazio economico europeo (See), compreso il nostro Garante, hanno avviato contattando vari titolari e responsabili della protezione dei dati di diversi settori sia pubblici, sia privati (per oltre 17mila risposte). Una mole di dati preziosa su profilo, posizione e attività degli Rpd a distanza di 5 anni dalla piena applicazione del Gdpr.
Per l’Italia, l’autorità garante per la protezione dei dati personali ha indirizzato il questionario a circa 60 Rpd di primarie società operanti nel settore privato e di enti pubblici di grandi dimensioni, le cui risposte in forma aggregata sono confluite all’interno di una delle appendici della Relazione mentre gli esiti dell’azione condotta dal Garante a livello nazionale sono stati sinteticamente riportati nella relazione nazionale.
Attorno alla figura del responsabile della protezione dei dati (anche Dpo) diverse riflessioni: per esempio il numero di Rpd “non nominati” del tutto – anche quando è obbligatorio farlo – così come risorse a disposizione insufficienti o scarse competenze e conoscenze specifiche.
E ancora, poca indipendenza o scarse informazioni a disposizione per essere più strettamente coinvolti nei processi decisionali. Nonostante questi rilievi, a livello europeo i risultati sembrano incoraggianti.
La maggior parte dei Dpo oggetto dell’indagine dichiara di possedere le competenze e le conoscenze necessarie per svolgere il proprio lavoro e riceve regolarmente corsi di formazione; ha compiti chiaramente definiti in linea con il Gdpr e non subisce pressioni su come esercitare le proprie funzioni. Inoltre, indica di essere consultata nella maggior parte dei casi e che il proprio parere è poi tenuto in considerazione. Considera infine di avere i mezzi adeguati per fare il proprio lavoro, ma “ci sono ancora troppi Dpo che non si trovano in tale posizione”, recita la relazione.
Non solo, dai dati del Garante emergono anche diversificazioni negli enti coinvolti, in riferimento, fra l’altro, al possesso delle necessarie competenze previste dal Regolamento europeo e all’effettivo coinvolgimento dei responsabili nelle questioni attinenti alla protezione dei dati personali, oltre che sulla chiara definizione del complesso dei compiti affidati dal titolare al Responsabile protezione dati.
In diversi casi pare che il titolare non documenti adeguatamente le ragioni per le quali il parere dell’Rpd viene disatteso, in altri che il Responsabile non riporti direttamente al vertice gerarchico (come dovrebbe essere) ma ad altre funzioni presenti nell’organigramma del titolare. Ora, a distanza di cinque anni dalla piena applicazione del Gdpr cresce la consapevolezza che gli Rpd “svolgono un ruolo fondamentale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere un’efficace protezione dei diritti degli interessati costituendo quindi una risorsa per il titolare anziché un costo o un mero adempimento burocratico”.
“Il quadro coordinato di applicazione consente alle autorità per la protezione dei dati di cooperare più strettamente su temi selezionati al fine di conseguire una maggiore efficienza e maggiore coerenza – spiega invece a livello europeo Anu Talus, presidente dell’Edpb –. E i responsabili della protezione dei dati svolgono un ruolo importante nel contribuire al rispetto della legge sulla protezione dei dati e nel promuovere una protezione efficace dei diritti degli interessati. Nel quadro coordinato di applicazione del Regolamento, le autorità di protezione dei dati hanno esaminato se i Dpo abbiano i mezzi per svolgere i loro compiti, come richiesto dal Gdpr“. La relazione resta come riferimento di “analisi delle sfide affrontate dai responsabili della protezione dei dati, insieme a punti di attenzione ed alle raccomandazioni per affrontare tali sfide”.
© RIPRODUZIONE RISERVATA