Durante la sua ultima sessione plenaria, il Comitato europeo per la protezione dei dati ha adottato una Relazione sui risultati della sua seconda azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023), incentrata sulla designazione e la posizione dei responsabili della protezione dei dati (RPD). La Relazione è il risultato di un’indagine coordinata a livello dell’UE ed elenca gli ostacoli attualmente incontrati dai responsabili della protezione dei dati unitamente ad una serie di raccomandazioni per rafforzarne ulteriormente il ruolo. La Relazione è corredata di due appendici: le statistiche elaborate nel corso dell’azione coordinata e le relazioni nazionali di ciascuna autorità di protezione dei dati partecipante.
Nel corso del 2023, 25 autorità di protezione dei dati in tutto lo Spazio economico europeo (SEE) compreso il Garante europeo per la protezione dei dati hanno avviato indagini coordinate su questo tema. Sono state contattati vari titolari e responsabili della protezione dei dati che coprono un’ampia gamma di settori (sia pubblici che privati), e sono state ricevute e analizzate oltre 17.000 risposte. È stata raccolta una mole consistente di dati che offrono preziose informazioni sul profilo, la posizione e l’attività dei RPD a distanza di 5 anni dalla piena applicazione del GDPR.
Tra i principali ostacoli evidenziati nella Relazione figurano, ad esempio, la mancata nomina di un RPD, anche se obbligatoria; risorse o conoscenze specialistiche insufficienti; mancanza di un adeguato grado di indipendenza o di informazioni che consentano ai RPD di essere più strettamente coinvolti nei processi decisionali.
L’Autorità Garante per la protezione dei dati personali ha indirizzato il questionario a circa 60 RPD di primarie società operanti nel settore privato e di enti pubblici di grandi dimensioni. Le risposte in forma aggregata sono confluite all’interno dell’appendice della Relazione del Comitato europeo per la protezione dei dati contenente statistiche e grafici mentre gli esiti dell’azione condotta dal Garante a livello nazionale sono stati sinteticamente riportati nella relazione nazionale.
I risultati dei questionari inviati dal Garante hanno evidenziato diversificazioni negli enti coinvolti in ordine, fra l’altro, al possesso delle necessarie competenze previste dal Regolamento europeo e all’effettivo coinvolgimento del RPD nelle questioni attinenti alla protezione dei dati personali oltre che nella chiara definizione del complesso dei compiti affidati dal titolare al RPD. Dalle risposte ricevute, è emerso che in diverse esperienze il titolare non documenterebbe le ragioni per le quali il parere del RPD viene disatteso. In alcuni enti è stato dichiarato che il RPD non riporta direttamente al vertice gerarchico ma ad altre funzioni presenti nell’organigramma del titolare.
In ogni caso, è indispensabile che a distanza di cinque anni dalla piena applicazione del GDPR emerga la consapevolezza che i RPD svolgono un ruolo fondamentale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere un’efficace protezione dei diritti degli interessati costituendo quindi una risorsa per il titolare anziché un costo o un mero adempimento burocratico.
Testo integrale del comunicato stampa del Comitato europeo per la protezione dei dati (Il Comitato europeo per la protezione dei dati identifica le aree di miglioramento per promuovere il ruolo e il riconoscimento dei DPO | Comitato europeo per la protezione dei dati (europa.eu)).
Fonte: Garante Privacy