Il Tavolo DPO, durante la giornata, ha portato all’attenzione del Garante le tre principali sfide che riguardano il Data Protection Officer del futuro e suggerito tre corrispondenti azioni idonee a realizzarle. Le tre sfide e azioni sono riassunte nella seguente relazione.

RELAZIONE FINALE

Il tavolo di lavoro sul Data protection officer ha svolto i suoi lavori portando all’attenzione dell’Autorità Garante alcune delle principali sfide che riguardano il DPO del futuro e nelle conclusioni ha suggerito 3 corrispondenti azioni idonee a realizzarle.

SFIDE:

1. VALORIZZARE IL RUOLO DEL DPO: occorre rafforzare la leadership del DPO all’interno e all’esterno delle organizzazioni, incrementandone l’autorevolezza, nonché la capacità ed efficacia di azione.
2. MIGLIORARE DEI RAPPORTI TRA DPO, GARANTE E ALTRI STAKEHOLDERS (PUBBLICI E PRIVATI): migliorare i rapporti e i flussi informativi e consolidare il ruolo del DPO all’interno e all’esterno dell’organizzazione.
3. AFFERMARE LA DIMENSIONE EUROPEA DEL DPO: assicurare un riconoscimento della dimensione europea del DPO e agevolare lo svolgimento dei relativi compiti ed attività nei casi in cui opera in contesti organizzativi complessi che coinvolgono anche altri Paesi dentro e fuori la UE.

Scenario

Il GDPR caratterizza il DPO come uno degli elementi portanti della governance del “sistema privacy” ma nei fatti non è così: la prassi applicativa ci mostra, nelle realtà pubbliche e private, una figura troppo spesso depotenziata, priva di reale autorevolezza all’interno delle organizzazioni, non integrata nella governance aziendale e non coinvolta nei processi strategici rilevanti. Non è considerata la sua integrazione a livello europeo con un quadro applicativo, tra i vari Paesi a volte differente e spesso connotato da particolarizzazioni a livello nazionale. Agevolerebbe sicuramente l’attività del DPO, laddove operante in un contesto transfrontaliero, l’introduzione di un’unica notifica dei suoi dati di contatto presso l’Autorità di controllo capofila.

Anche nei rapporti con il Garante, si riscontra la mancanza di adeguati canali di comunicazione.

La multidisciplinarietà di competenze richiesta al DPO rende evidente che il DPO non può agire da solo e soprattutto rafforza l’esigenza di formazione qualificata quale elemento trainante di autorevolezza, presupposto della sua centralità.

AZIONI

Promuovere e sviluppare la costituzione di reti di DPO, volte a favorire lo scambio di esperienze e informazioni e l’individuazione di best practice, in ambiti specifici (es. PA, sanità, TLC, banche), e la costituzione di tavoli di confronto permanente su temi di interesse trasversale (es. IoT, Intelligenza Artificiale), che siano anche spazi di sperimentazione in un percorso virtuoso di reciproco arricchimento e vantaggiose sinergie (Sand Box). I Network potrebbero promuovere l’adozione di codici etici/di comportamento, oppure vademecum e/o linee guida su diversi aspetti; approfondire e delineare comportamenti virtuosi nei rapporti con titolare/responsabile del trattamento. Così strutturati e organizzati i Network rappresenterebbero quel canale di rapporto diretto con il Garante (da più parti evocato) e faciliterebbero i suoi interventi.

Progettare e sviluppare l’organizzazione di eventi, incontri e percorsi formativi periodici e obbligatori, su iniziativa del Garante, anche tramite una piattaforma digitale di formazione a distanza gratuita. La formazione deve essere estesa a tutta la platea dei DPO (pubblici e privati). L’introduzione di uno specifico obbligo formativo richiederebbe un intervento a livello normativo.

Valorizzare maggiormente le funzioni del DPO anche nell’ambito dei provvedimenti correttivi e sanzionatori del Garante, consolidando la tendenza, già in atto, a considerare il grado di coinvolgimento del DPO da parte del titolare, tra i criteri per la determinazione dell’importo delle sanzioni pecuniarie (cfr. provvedimenti del Garante n.118 del 2 luglio 2020 e n.87 del 25 febbraio 2021- EDPB Linee Guida 4/22 – doc. per la consultazione, par.90).