Migliorare il ruolo e il riconoscimento dei Responsabili della Protezione dei Dati (RPD): risultati e raccomandazioni del GPDP

Il Comitato europeo per la protezione dei dati ha recentemente concluso la sua seconda azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023). L’attenzione principale di questa iniziativa è stata rivolta alla designazione e alla posizione dei Responsabili della Protezione dei Dati (RPD), al fine di identificare ostacoli e raccomandare miglioramenti nel loro ruolo. Questa relazione rappresenta un importante passo avanti nella comprensione delle dinamiche che coinvolgono i RPD, a cinque anni dalla piena applicazione del GDPR.

Durante il 2023, 25 autorità di protezione dei dati nell’intero Spazio economico europeo (SEE), compreso il Garante europeo per la protezione dei dati, hanno avviato indagini coordinate su questa tematica cruciale. Con oltre 17.000 risposte analizzate da titolari e responsabili della protezione dei dati in vari settori, la mole di dati raccolta offre un quadro dettagliato del profilo, della posizione e dell’attività dei RPD.

La relazione evidenzia diversi ostacoli che possono influenzare il ruolo dei RPD. Tra questi, la mancata nomina obbligatoria di un RPD, risorse o conoscenze specialistiche insufficienti, e un livello di indipendenza inadeguato emergono come le sfide più rilevanti. Le raccomandazioni mirano a rafforzare il ruolo dei RPD, includendo una chiara definizione delle ragioni per cui il parere del RPD può essere disatteso e garantendo un coinvolgimento più diretto nei processi decisionali.

L’Autorità Garante per la protezione dei dati personali ha giocato un ruolo cruciale in questa indagine, rivolgendo questionari a circa 60 RPD di primarie società del settore privato e di enti pubblici di grandi dimensioni. Le risposte aggregate forniscono preziose informazioni statistiche e grafiche, mentre i risultati dell’azione condotta a livello nazionale sono stati sinteticamente riportati nella relazione nazionale.

I questionari inviati hanno evidenziato diversificazioni significative tra gli enti coinvolti, comprese differenze nelle competenze possedute dai RPD e nell’effettivo coinvolgimento nelle questioni relative alla protezione dei dati. In alcune situazioni, è stato segnalato che il RPD non riporta direttamente al vertice gerarchico, ma ad altre funzioni presenti nell’organigramma del titolare. Emergono, inoltre, mancanze nella documentazione delle ragioni per cui il parere del RPD viene disatteso.

A distanza di cinque anni dalla piena applicazione del GDPR, è cruciale comprendere il ruolo fondamentale svolto dai RPD nel rispetto della normativa sulla protezione dei dati. La consapevolezza deve crescere, affinché i RPD siano visti come una risorsa preziosa per il titolare, contribuendo all’efficace protezione dei diritti degli interessati e non semplicemente come un costo o un adempimento burocratico.

In conclusione, la relazione del Comitato europeo per la protezione dei dati offre un’analisi approfondita delle sfide e delle opportunità legate al ruolo dei RPD, sottolineando la necessità di miglioramenti e di una maggiore consapevolezza nell’ambito della protezione dei dati a livello europeo.