di Vincenzo Giovanni DRAGONE
La figura del Data Protection Officer a cinque anni dall’entrata in vigore del GDPR: le recenti evidenze delle survey condotte dall’Autorità Garante per la protezione dei dati personali e dall’European Data Protection Board.
Si è tenuto il 20 febbraio scorso a Roma, presso la sede dell’Associazione bancaria italiana (ABI), un importante evento organizzato dal Garante per la protezione dei dati personali e da ABI per la presentazione degli esiti di una survey condotta sul ruolo, posizionamento, compiti e prerogative del Responsabile per la protezione dei dati personali (o Data Protection Officer, DPO) nel settore bancario.
L’iniziativa(1) ha rappresentato l’esito delle attività che si sono svolte per tutto il 2023 a cura di un Gruppo di lavoro istituito presso il Garante e che ha visto la partecipazione dei DPO dei principali istituti, la Banca d’Italia, ABI e Federcasse, per la predisposizione e proposizione di un questionario composto da 46 domande, volto a raccogliere informazioni utili a scattare una “fotografia” del DPO a cinque anni dall’entrata in vigore nel GDPR.
I relatori dell’evento sono stati, oltre agli esponenti del Garante, i DPO delle banche più rappresentative e la Banca d’Italia: in particolar modo, sono risultate significative ed accorate le riflessioni e considerazioni formulate dal Presidente dell’Autorità Garante, Pasquale Stanzione, e da quello di ABI, Antonio Patuelli, i quali hanno a più riprese sottolineato come il DPO rappresenti, oggi ancor più di ieri, una “figura chiave” e, vieppiù, una “sentinella” nel framework di garanzie a tutela dei diritti della persona introdotte dal GDPR, nell’era della rivoluzione digitale che sta interessando la nostra società a più livelli.
Il rapporto sui Responsabili Protezione Dati in ambito bancario
Guardando alle evidenze del questionario – segmentate in tre cluster dimensionali tra le 87 banche rispondenti – si possono in questa sede menzionare i seguenti profili di rilievo:
- designazione, requisiti, esperienza del DPO: le banche di maggiori dimensioni hanno provveduto a una designazione formale del DPO, che nella quasi totalità dei casi corrisponde a un dipendente dell’organizzazione, il quale ha, nella maggior parte dei casi, un’esperienza in materia superiore a sei anni;
- compiti e risorse del responsabile della protezione dei dati: le risposte hanno fornito uno spaccato variegato di situazioni anche tra i gruppi bancari di maggiori dimensioni. Segnatamente, con riferimento alle risorse in staff al DPO, il 54% ha dichiarato un organico superiore a sette FTE, mentre si è registrata una tendenza a comunicare al personale i compiti del DPO principalmente mediante circolari o altri strumenti aziendali (quali ad esempio intranet).
- ruolo e posizione del responsabile della protezione dei dati: uno dei temi più delicati toccati dal questionario è quello del posizionamento del DPO, anche in relazione alla contestuale attività di indagine dell’EDPB (vd. nel prosieguo). Le risultanze del questionario hanno evidenziato che, avendo quale riferimento l’organizzazione multilivello tipica del settore bancario, negli intermediari di maggiori dimensioni, il DPO risulta assimilato a un presidio di secondo livello, nella prevalenza dei casi collocato organizzativamente nell’area Compliance, e ciò anche per effetto dell’interpretazione combinata del plesso normativo GDPR e della disciplina settoriale (i.e. Circolare Banca d’Italia n. 285/2013)(2) . È emerso altresì che, per circa l’80% dei rispondenti, il DPO opera il suo reporting direttamente – da una a quattro volte l’anno – al più alto vertice aziendale, quale presupposto minimo di ottemperanza ai principi di autonomia e indipendenza stabiliti nel Regolamento.
- risorse e formazione del responsabile della protezione dei dati: le risposte del questionario hanno raffigurato le buone prassi delle banche di maggiori dimensioni con riguardo agli aspetti formativi del DPO, mentre per i Gruppi di minori dimensioni, si è registrata una percentuale del 53% di partecipazione a corsi di formazione almeno una volta l’anno.
La survey si conclude con alcuni punti aperti che saranno affrontati dal Gruppo di lavoro istituito dal Garante, quali l’approfondimento delle citate interrelazioni tra il GDPR e la disciplina bancaria, vuoi con riguardo a tematiche organizzative e inerenti ai requisiti di indipendenza del ruolo (e il riferimento è alla cit. Circ. Bankitalia n. 285/2013) che di merito (es. la normativa GDPR e quella antiriciclaggio, privacy e AI, diritto alla conservazione dei dati personali, ecc.)
Con tutta probabilità, quindi, assisteremo a interventi di “assestamento” con riguardo alla disciplina che interessa il DPO, verosimilmente attraverso iniziative regolamentari o di soft law tese ad armonizzare le distonie (apparenti o meno) tra fonti di diverso rango e tra le diverse soluzioni operative adottate dell’industria.
Ciò tanto più in considerazione della circostanza che l’iniziativa del Garante italiano si inquadra nell’azione che, a livello internazionale, è stata promossa dall’European Data Protection Board (EDPB), l’organismo indipendente che, all’interno dell’UE, ha il compito di garantire – anche attraverso l’emanazione di pareri alla Commissione UE e alle Autorità nazionali – che il GDPR sia applicato coerentemente nei Paesi dell’Unione.
Il rapporto EDPB sul DPO
In relazione alla figura del DPO, EDPB ha emesso il 17 gennaio scorso un rapporto(3) sull’indagine condotta da 25 Autorità di protezione dei dati dell’UE relativa al ruolo, alla designazione e alla posizione dei DPO. Sebbene i risultati complessivi siano positivi, il rapporto raccomanda che il ruolo, le leve, e il riconoscimento dei DPO debbano essere rafforzati.
In particolare, muovendo dall’analisi d’impatto delle nuove tecnologie e delle novelle legislative, l’EDPB ha sottolineato come la funzione dei DPO stia mutando, soprattutto in prospettiva dell’imminente emanazione dell’Artificial Intelligence Act (e delle ulteriori normative sulla strategia europea sui dati).
Tale normativa amplia infatti le responsabilità del DPO e rende cruciale il suo ruolo di garante dei diritti e dell’etica nel trattamento dei dati personali dell’individuo.
Per affrontare queste sfide, il rapporto EDPB delinea una serie di raccomandazioni ritenute essenziali, quali:
- adeguare le risorse in relazione alla dimensione e complessità in cui il DPO si trova a operare;
- migliorare la formazione specialistica: in considerazione della rapida evoluzione tecnologica e normativa, il rapporto raccomanda un potenziamento della formazione per i DPO, garantendo l’opportunità di aggiornamento continuo;
- promuovere una maggiore indipendenza e prevenire i conflitti di interesse, onde assicurare al DPO lo svolgimento del proprio compito in assenza di interferenze e in relazione diretta con il vertice aziendale/titolare del trattamento.
Non a caso, il presidente dell’EDPB, Anu Talus, ha sottolineato come il ruolo del DPO risulti strategico e a garanzia dei diritti dei cittadini nel processo di digitalizzazione e poderosa evoluzione tecnologica in corso.
L’intento di EDPB è appunto quello di muovere dall’analisi dei dati rappresentati nel rapporto per poi proseguire con azioni di follow-up mirate a livello nazionale.
Da qui l’impegno assunto dalla maggior parte delle Autorità coinvolte per la diffusione di ulteriori indicazioni sulla figura del DPO, onde migliorarne e rafforzarne le prerogative e la concreta efficacia nelle organizzazioni: in tale quadro va appunto letta l’iniziativa del Garante italiano.
Conclusioni
In definitiva, sia dal rapporto EDPB che dall’esito dell’indagine di settore del Garante italiano e di ABI, risulta chiaro come i punti sui quali lavorare siano l’approfondimento e l’applicazione in concreto dei principi (già) contenuti nel GDPR, ovvero:
- il posizionamento del DPO in coerenza con il suo ruolo,
- l’indipendenza (in particolare assicurando che non riceva istruzioni nell’esecuzione dei propri compiti né tanto meno ingerenze da parte delle strutture aziendali) e
- l’autonomia (con il riconoscimento di risorse umane. tecniche e finanziarie coerenti con l’impegno che gli è richiesto).
È in rapporto a queste peculiarità che deve essere verificata l’adeguatezza della soluzione organizzativa individuata in seno a ciascuna organizzazione, guardando con attenzione alle probabili iniziative di regolazione che potranno essere intraprese dalle istituzioni competenti nel prossimo futuro.
In tale contesto, lo stesso Garante, nel corso dell’evento succitato, ha avuto modo di rimarcare come il DPO sia una figura in grado di fornire un vero e proprio valore aggiunto in un momento storico nel quale il trattamento dei dati personali rappresenta un asset competitivo essenziale, e che per far sì che ciò accada “è necessario che le aziende, in primo luogo, comprendano, più di quanto abbiano fatto fino ad oggi, che investire sulla funzione del DPO rappresenta una mossa vincente e non solo l’assolvimento di un adempimento richiesto dalla legge.”
Intervento di Vincenzo Giovanni DRAGONE, Group Data Protection Officer | Gruppo Bancario ICCREA
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Autorità Garante, Presentazione del rapporto sui Responsabili Protezione Dati, 20 febbraio 2024
(2) Banca d’Italia, Circolare n. 285 del 17 dicembre 2013 | Disposizioni di vigilanza per le banche
(3) EDPB-European Data Protection Board, Coordinated Enforcement Action, Designation and Position of Data Protection Officers, 17 January 2024