Il GDPR ha da poco spento 7 candeline.
Eppure, nel momento in cui normative locali (come quella tedesca) in materia di protezione di dati personali sono in fase di revisione, unitamente allo stesso testo del Regolamento europeo sulla Protezione dei Dati Personali n. 679/106 (GDPR), la cui proposta di revisione è stata presentata dalla Commissione Europea[1], è chiara la necessità di semplificazione e armonizzazione con le più recenti normative che hanno interessato il panorama europeo (es. AI Act, Digital Services Act, Digital Markets Act, Data Act, Data Governance Act, DORA, NIS2, etc.).
Possiamo, dunque, chiederci come cambia il ruolo del Dpo; come una figura peculiare prevista dal GDPR, quale quella del Data Protection Officer, si sia di fatto evoluta nell’arco di questi 7 anni e il suo rapporto con le novità normative.
Indice degli argomenti
Il Data Protection Officer secondo il GDPR
La figura del Responsabile per la Protezione dei Dati, o Data Protection Officer, o, ancora più comunemente noto come DPO, è stata introdotta dal GDPR. In particolare, è disciplinata dagli articoli 37-39 del Regolamento, ai sensi dei quali la nomina di tale soggetto è richiesta per:
- le autorità e gli organismi pubblici;
- i soggetti che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- i soggetti che trattano categorie particolari di dati e/o dati giudiziari su larga scala.
Il ruolo del DPO, inoltre, è quello di una figura che sia coinvolta in qualsiasi processo che implichi la protezione dei dati personali e, di conseguenza, il titolare del trattamento deve assicurare che disponga di mezzi e risorse necessari per l’espletamento dei propri compiti e che non riceva istruzioni per poterlo fare, né che venga penalizzato per lo svolgimento della propria attività: si tratta, infatti, di una figura indipendente (come sancito anche dal cons. 97) e che, nonostante ciò, è tenuta ad astenersi dallo svolgimento di mansioni o attività che possano dare adito ad un conflitto d’interessi.
Il DPO svolge, quindi, da punto di raccordo tra il titolare e l’autorità garante e fornisce consulenza e pareri, in particolare in merito alle valutazioni di impatto dei trattamenti che possono avere un rischio elevato sui diritti e libertà fondamentali degli interessati.
Le caratteristiche del DPO
Il GDPR non impone requisiti formali, se non che il DPO possegga un livello adeguato di conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati.
Nella pratica, ciò si è tradotto nella richiesta di una figura con competenze interdisciplinari, che abbia una conoscenza approfondita della normativa sulla privacy, sia europea che nazionale, ma anche familiarità con i processi aziendali e la governance organizzativa, nonché competenze tecniche sufficienti a comprendere le implicazioni dei trattamenti effettuati, specie in presenza di tecnologie complesse, senza dimenticare capacità di mediazione tra esigenze legali, organizzative e tecnologiche.
In molti casi, il DPO ha assunto un ruolo di un vero e proprio interprete, verticale ed orizzontale, delle esigenze legali, business, e tecnologiche.
Inoltre, la concreta valorizzazione di questo ruolo si è rivelata disomogenea tra settore pubblico e privato, e tra grandi imprese e PMI. Ma vediamo quali sono le principali criticità e i risvolti.
Le criticità relative alla figura del DPO
A sette anni dall’entrata in vigore del GDPR, è possibile tracciare un bilancio anche sulle criticità legate alla figura del DPO, emerse sia in ambito operativo che normativo.
Il conflitto di interessi
Una delle problematiche più rilevanti è il conflitto di interessi. Nonostante il divieto in tal senso di cui all’art. 38 GDPR, in molteplici casi le autorità garanti europee, inclusa quella italiana, hanno rilevato (e sanzionato) lo svolgimento di ruoli di DPO interni da parte di amministratori delegati, nonché di funzioni dirigenziali, in ambiti come IT, legale, HR, o compliance, compromettendo l’indipendenza richiesta dal Regolamento.
Spesso, infatti, le aziende si trovano a dover affrontare la fatidica scelta tra un DPO esterno, oppure interno. Di conseguenza, e solitamente per motivi legati alla disponibilità di budget, la scelta ricade sulla seconda opzione e, con l’obiettivo di ottimizzare i ruoli, quest’ultimi vengono spesso mescolati.
Ne consegue che, oltre all’incompatibilità di ruolo e alla violazione del requisito di indipendenza del DPO, quest’ultimo rischi di non possedere, effettivamente, le prescritte conoscenze sulla normativa e non sia in grado di dar seguito in maniera appropriata ai compiti assegnati dall’art. 39 GDPR.
Tale circostanza di conflitto di interesse, d’altro canto, può accadere anche in casi in cui i DPO interni, benché formalmente nominati come figure ad-hoc, rischino di veder minata la propria indipendenza poiché, di fatto, tenuti a riportare non alle funzioni di vertice, ma a funzioni più operative. Anche in tali casi, pertanto, tali soggetti non si trovano in condizioni di effettiva libertà di autodeterminare le proprie attività.
Parimenti, nel caso di DPO esterni, i conflitti di interesse possono sorgere nel momento in cui, ad esempio, conferito mandato ad un legale esterno ed in caso di contenzioso tra l’azienda per cui è DPO e un’altra, questi si trova a difendere, in qualità di difensore legale, quest’ultima. Il risultato? Rischi sanzionatori per l’azienda/titolare del trattamento.
Mancanza di risorse
Altra criticità è rappresentata dalla mancanza di risorse: il GDPR richiede, all’art. 38, che il titolare affidi al DPO risorse necessarie per assolvere ai propri compiti, nonché per mantenere la propria conoscenza specialistica.
In realtà, molti DPO lamentano di non avere tempo, strumenti o supporto adeguato per svolgere efficacemente il proprio ruolo, spesso sottovalutato e non rispettato. In alcuni casi, infatti, anche per motivi economici, la nomina del DPO viene percepita come un mero adempimento formale, con il risultato di una scarsa integrazione nel sistema di governance aziendale e inefficace compliance normativa.
Ambiguità di poteri
Di centrale rilevanza è poi la tendenza ad una certa ambiguità nei compiti: l’art. 39 GDPR parla di funzioni di sorveglianza, monitoraggio e consulenza, nonché la predisposizione di pareri in particolare rispetto ad attività rilevanti quali le valutazioni di impatto.
Tuttavia, nella pratica, accade che il DPO si trovi coinvolto in attività operative o decisionali che addirittura esulano dal proprio mandato. Spesso, infatti, la figura, in particolare quando esterna, viene preposta all’intera gestione delle attività rilevanti in materia di protezione dei dati personali, operando, di fatto, come un unico soggetto, a cui vengono attribuite mansioni afferenti a diversi ruoli. Basti pensare ai casi di valutazioni di impatto redatte e soggette al parere della medesima figura, nonché a progetti definiti in prima battuta con la consulenza alle funzioni di business e, successivamente, formalmente portati all’attenzione del DPO per la formulazione di un parere, a quel punto, formulato in condizioni di dubbia indipendenza.
Tali comportamenti espongono tali soggetti a rischi in termini di responsabilità.
Formazione continua (e sfidante)
La formazione continua, richiesta per poter rispettare il requisito della conoscenza specialistica della materia, inizia a rappresentare una sfida per i Data Protection Officer: il contesto normativo e tecnologico si è evoluto massivamente negli ultimi tre anni, e tale evoluzione non sarà da meno nel prossimo futuro. Ciò impone che, probabilmente diversamente da quanto si potesse prevedere nel 2018 (o 2016, data di entrata in vigore del regolamento), il DPO sia aggiornato sulle implicazioni privacy di settori quali l’intelligenza artificiale, la cybersecurity, il cloud (e a breve quantum) computing. Inoltre, queste considerazioni si scontrano anche con la constatazione che non sempre i DPO sono adeguatamente supportati nel loro aggiornamento professionale.
Ruolo del Dpo: nuove sfide e i possibili scenari
E proprio esplodendo quest’ultima criticità, ci si può focalizzare sulle sfide più attuali per un DPO, che oggi si trova al centro di trasformazioni significative, legate a molteplici fattori.
Innanzitutto, come accennato, l’evoluzione normativa sta ponendo dei dubbi rispetto ai compiti legati all’attività del DPO: l’entrata in vigore di nuovi testi europei come l’AI Act, il Data Governance Act e il Data Act comporterà nuove responsabilità legate all’uso etico, sicuro e conforme dei dati. Il DPO sarà chiamato a dialogare sempre più spesso con nuove figure, oppure a rivestirne direttamente i panni (legittimamente o meno).
Da non dimenticare, sempre all’interno del nuovo panorama normativo, la necessaria intersezione con la cybersecurity: la crescente convergenza tra protezione dei dati e sicurezza informatica richiede una collaborazione più stretta tra DPO e CISO. La direttiva NIS2, ad esempio, qualora applicabile, impone obblighi di sicurezza che toccano anche aspetti di data protection.
Anche la normativa DORA, qualora applicabile, richiede un’attenzione e un atteggiamento consapevole da parte dei DPO.
Nell’ambito dell’intelligenza artificiale, inoltre, i trattamenti automatizzati e l’uso di algoritmi complessi sollevano nuove problematiche sul fronte del consenso, della trasparenza e dei diritti degli interessati.
In mancanza di indicazioni più precise, il DPO si troverà verosimilmente ad affiancare i dipartimenti di sviluppo o business per garantire una progettazione conforme, in onore ai principi di privacy by design e by default.
Inoltre, per non dimenticare il periodo di grande incertezza e confusione, vissuto in occasione della caduta del Privacy Shield (2020)[2], è importante tenere sempre in considerazione le problematiche legate ai trasferimenti di dati al di fuori del territorio dell’Unione Europea, in particolare verso gli USA, anche dopo l’introduzione del EU-US Data Privacy Framework, avvenuta solamente nel 2023. Inoltre, sono numerosi i Paesi che non beneficiano di condizioni adeguate alla protezione dei dati personali e che sono, d’altro canto, sede di molte aziende (es. Filippine, India, Cina, etc.): in tali casi, il DPO è coinvolto nella valutazione delle garanzie adeguate da parte di fornitori e destinatari dei dati personali.
Il futuro del DPO
A sette anni dall’applicazione del GDPR, la figura del DPO si è rivelata strategica. Da ruolo introdotto per garantire la compliance normativa, si sta progressivamente trasformando in un attore chiave nella governance dei dati, nell’innovazione digitale e nella gestione dei rischi informativi.
Per realizzare appieno questo potenziale, è, tuttavia,necessario che le organizzazioni investano nella valorizzazione della figura del DPO, assicurandone indipendenza, formazione, risorse adeguate e integrazione nei processi decisionali.
Allo stesso tempo, anche il legislatore europeo e le autorità di controllo dovranno contribuire a chiarire e rafforzare il ruolo del DPO, in un ecosistema tecnologico sempre più complesso, interconnesso e data-driven.
Inoltre, la necessità di valutare effettive semplificazioni della normativa, in particolare per le PMI e determinati settori, potrebbe essere sintomatica anche rispetto a tale ruolo, ma allo stesso tempo, auspicabilmente, senza giustificare prassi che portino allo svilimento della figura, in particolare se interna.
Per concludere, il futuro del DPO non è solo una questione di mero adempimento normativo, né di attribuzione disorganica di più livelli di potere in materia di protezione dei dati personali, ma, più verosimilmente, di visione: il DPO, tanto interno, quanto esterno, è una figura professionale che, se ben valorizzata, può rappresentare un tassello strategico nell’organizzazione aziendale ed è per questi motivi che è importante sapersi affidare ad esperti nel settore e che abbiano le necessarie competenze interdisciplinari, fondamentali in questo momento storico.
Note
[1] https://commission.europa.eu/document/7fd9c846-b894-4f9f-b164-3b926d1b264b_en
[2] Lo scudo UE-USA era l’accordo, adottato mediante decisione di adeguatezza da parte della Commissione Europea, che garantiva un meccanismo di trasferimento dei dati personali europei verso gli Stati Uniti D’America. Con la sentenza del 16 luglio 2020, c.d. Schrems II, la Corte di Giustizia dell’Unione Europea ha invalidato l’accordo.
