Il Garante del Lussemburgo ha sanzionato per 18.000 euro una controllata pubblica per l’ineguatezza del DPO scelto. Un provvedimento da tenere in considerazione d’ora in poi al momento di scegliere il DPO.

Antefatto: il Garante del Lussemburgo avvia 25 procedure di audit

L’antefatto della sanzione in oggetto è interessante. La Commissione nazionale per la protezione dei dati del Lussemburgo (CNPD) ha iniziato nel 2018 una indagine aperta. Questa si è sostanziata in 25 procedure di audit eseguite sia nel settore pubblico che in quello privato.

Gli audit dovevano verificare che:

  • il soggetto abbia adempiuto all’obbligo di nomina del DPO;
  • i contatti dei DPO siano stati pubblicati;
  • i dati di contatto del DPO siano stati comunicato al Garante;
  • il DPO abbia competenze e capacità sufficienti per svolgere efficacemente la propria mansione;
  • alcun conflitto di interesse gravi sul DPO;
  • il DPO disponga di risorse adeguate;
  • il DPO possa svolgere i propri compiti con sufficiente autonomia entro l’organizzazione esaminata;
  • l’organizzazione abbia in effetti coinvolto il DPO in tutti gli aspetti relativi alla protezione dei dati;
  • il DPO fornisca effettivamente informazioni e consulenza al titolare del trattamento e ai dipendenti;
  • il DPO eserciti un controllo sul trattamento dati adeguato ed efficace;
  • che il DPO supporti concretamente il titolare del trattamento nella valutazione d’impatto riguardo a nuovi trattamenti di dati personali.

Qualità professionali del DPO: il punto dolente

Le 25 procedure di audit hanno fatto emergere, tra tutti, un punto critico in particolare ovvero capacità e competenze specifiche del DPO. Il che è un fatto del tutto nuovo: per la prima volta una autorità garante decide di verificare gli standard qualitativi del DPO:

Il punto di partenza è l’art 37. par.5 del GDPR:

“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Non solo: le linee guida redatte dal gruppo WP29 prevedono che i livelli di competenza ed esperienza del DPO debbano essere proporzionati alla sensibilità, complessità e volume dei dati trattati dal Titolare. Ne discende la necessità di conoscenza approfondita delle normative europee e anche delle leggi e prassi nazionali in fatto di protezione dei dati personali.

Il Garante lussemburghese ha quindi segnato un punto: ha dichiarato apertamente che gli standard qualitativi previsti dal GDPR per i DPO ossono essere soddisfatti solo dopo un’esperienza professionale di almeno 3 anni.

L’esito dell’audit e la difesa dell’azienda

L’azienda in oggetto aveva in prima battuta nominato un DPO rispondente alle qualifiche ed esperienze professionali sopra indicate. La criticità che ha portato alla sanzione è relativa alla nomina, nel 2019, di un diverso DPO. Questo, al momento della nomina, non presentava né esperienza pregressa né formazione legale e tecnica in materia di protezione dei dati personali. La nomina era conseguente infatti più all’approfondita conoscenza che il soggetto aveva rispetto alla struttura e al settore di appartenenza del titolare del trattamento.

L’azienda si è difesa spiegando che il primo DPO nominato aveva i requisiti da DPO, ma la totale assenza di esperienza e conoscenza del settore di attività lo ha reso un “tentativo fallito”. IL DPO successivamente nominato ha riucevuto formazione e assistenza da parte di uno studio legale specializzato in data protection.

Il Garante ha quindi deciso di sanzionare l’organizzazione tenendo in considerazione il periodo di tempo iniziato con la seconda nomina.

La sanzione: motivazioni e ammontare

La sanzione dell’autorità lussemburghese si è concentrata su tre punti:

  • il primo è proprio l’inadeguatezza del DPO;
  • il secondo è un richiamo per violazione dell’art.97 del GDPR che dice testualmente: “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […]. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento
  • terzo ed ultimo punto: stando alle linee guida del WP29, il DPO deve avere:
    • capacità specialistiche proporzionate “sensibilità, alla complessità e alla quantità dei dati sottoposti al trattamento”;
    • qualità professonali, in base alla conoscenza della normativa e all’esistenza di formazione adeguata e continua.
    • capacità di assolvere ai propri compiti, sia in termini di conoscenze e qualità personali, sia in termini della posizione del DPO entro l’organizzazione.

Fonti utili > qui il provvedimento completo (in lingua originale)


Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.