L’EDPB individua aree di miglioramento per promuovere il ruolo e il riconoscimento del DPO in azienda
Nel corso del 2023 il Comitato Europeo per la Protezione dei Dati (EDPB) ha avviato una nuova attività di indagine nell’ambito del Coordinated Enforcement Framework (CEF) che ha riguardato l’analisi della figura del responsabile della protezione dei dati (RPD o DPO), con particolare riferimento alla designazione e alla posizione ricoperta dallo stesso nella compagine aziendale.
Il documento finale è stato adottato il 16 gennaio 2024 “2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers”
In particolare la relazione si sofferma su delle criticità costanti offrendo delle possibili soluzioni.
Conflitto di Interessi e Mancanza di Indipendenza del DPO
Ricordiamo che ai sensi dell’art 38, par. 6, del GDPR, al DPO è consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.
In alcuni casi, i DPO si trovano in posizioni che possono generare conflitti di interesse, per esempio quando hanno compiti che influenzano le decisioni relative al trattamento dei dati.
Di conseguenza, un DPO con conflitti di interesse potrebbe non essere in grado di agire con l’obiettività necessaria, compromettendo l’integrità del ruolo di vigilanza sulla protezione dei dati.
Le criticità del DPO interno
I DPO devono avere una posizione chiara e indipendente all’interno dell’organizzazione, evitando l’assegnazione di compiti che possano portare a conflitti di interesse.
Le Linee guida sul DPO riportano i seguenti ruoli che sono in conflitto di interesse:
- amministratore delegato,
- responsabile operativo,
- responsabile finanziario,
- responsabile sanitario,
- direzione marketing,
- direzione risorse umane,
- responsabile IT.
Come procedere alla nomina del DPO interno
Innanzitutto è fondamentale valutare al momento dell’assegnazione dell’incarico se:
- il soggetto ha delle competenze adeguate all’incarico;
- sia istruito e abbia frequentato appositi corsi di formazione;
- destinare risorse adeguate a consentire allo stesso lo svolgimento dell’incarico in autonomia;
- agisca in modo indipendente mediante l’implementazione di apposite garanzie e misure organizzative.
Conoscenze e Formazione Insufficienti dei DPO
Un’altra problematica emersa nell’indagine è relativa alla mancanza di conoscenze specialistica e formazione specifica in materia di protezione dei dati di alcuni DPO.
Ciò comporta che i DPO non possono fornire consulenze o gestire le questioni relative alla protezione dei dati in modo efficace.
Fondamentale per i DPO è la formazione e l’aggiornamento continuo.
(Fonte Garante Privacy)
Potrebbe interessarti