L’EDPB individua aree di miglioramento per promuovere il ruolo e il riconoscimento dei DPO

Bruxelles, 17 gennaio — Durante la sua ultima sessione plenaria, l’EDPB ha adottato una relazione sui risultati della sua seconda azione coordinata di applicazione, incentrata sulla designazione e la posizione dei responsabili della protezione dei dati (RPD). La relazione è il risultato di un’indagine coordinata a livello dell’UE ed elenca gli ostacoli attualmente incontrati dai responsabili della protezione dei dati, insieme a una serie di raccomandazioni per rafforzare ulteriormente il loro ruolo.

Anu Talus, presidente dell’EDPB, ha dichiarato: “Il quadro coordinato di applicazione (MCE) consente alle autorità per la protezione dei dati (DPA) di cooperare più strettamente su temi selezionati al fine di conseguire una maggiore efficienza e maggiore coerenza. I responsabili della protezione dei dati svolgono un ruolo importantenel contribuire al rispetto della legge sulla protezione dei dati e nel promuovere una protezione efficace dei diritti degli interessati. Attraverso l’MCE, le autorità di protezione dei dati hanno esaminato se i DPO abbiano i mezzi per svolgere i loro compiti, come richiesto dal GDPR. La relazione fornisce un’analisi delle sfide affrontate dai responsabili della protezione dei dati, insieme a punti di attenzione e raccomandazioni per affrontare tali sfide.”

Nel corso del 2023, 25 autorità di protezione dei dati in tutto lo Spazio economico europeo (SEE) (compreso il GEPD) hanno avviato indagini coordinate su questo argomento. Varie organizzazioni, così come i responsabili della protezione dei dati, sono stati contattati in tutto il SEE, coprendo un’ampia gamma di settori (sia pubblici che privati) e sono state ricevute e analizzate oltre 17,000 risposte. Sono stati raccolti dati estesi che offrono preziose informazioni sul profilo, la posizione e il lavoro dei DPO, 5 anni dopo l’entrata in applicazione del GDPR.

Nonostante alcune preoccupazioni e sfide affrontate da alcuni responsabili della protezione dei dati (come la mancanza di designazione di un responsabile della protezione dei dati, anche se obbligatoria; risorse insufficienti o conoscenze specialistiche per il responsabile della protezione dei dati; Ai responsabili della protezione dei dati che non sono pienamente incaricati dei compiti richiesti dal diritto in materia di protezione dei dati; mancanza di indipendenza o di segnalazione ai dirigenti più alti), i risultati sono incoraggianti. La maggior parte dei DPO interrogati dichiara di possedere le competenze e le conoscenze necessarie per svolgere il proprio lavoro e ricevere regolarmente corsi di formazione; hanno compiti chiaramente definiti in linea con il GDPR e non ricevono istruzioni su come esercitare le loro funzioni. Inoltre, indicano di essere consultati nella maggior parte dei casi e di avere informazioni sufficienti per svolgere i loro compiti, e che i loro pareri sono seguiti abbastanza bene. Inoltre, la maggior parte considera che hanno i mezzi per fare il loro lavoro. Tuttavia, ci sono ancora troppi DPO che non si trovano in tale posizione.

Al fine di affrontare le sfide individuate, la relazione elenca alcune raccomandazioni per le organizzazioni, i responsabili della protezione dei dati e le autorità di protezione dei dati volte a rafforzare l’indipendenza dei responsabili della protezione dei dati e a garantire che dispongano delle risorse necessarie per svolgere i loro compiti. Tra l’altro, la relazione incoraggia le autorità di protezione dei dati a svolgere maggiori attività di sensibilizzazione, informazione e applicazione delle norme. Il rapporto incoraggia inoltre le organizzazioni a garantire che i DPO abbiano sufficienti opportunità, tempo e risorse per aggiornare le loro conoscenze e conoscere gli ultimi sviluppi.

La relazione è accompagnata da due appendici: le statistiche raccolte nel corso di questa azione e le relazioni nazionali di ciascuna autorità di protezione dei dati partecipante.

L’MCE è un’azione chiave dell’EDPB nell’ambito della sua strategia 2021-2023, volta a razionalizzare l’applicazione e la cooperazione tra le autorità di protezione dei dati. L’azione dell’MCE 2024 verterà sull’attuazione del diritto di accesso da parte dei titolari del trattamento.