Il Ministero del Lavoro, della Salute e della Solidarietà (DGEFP), la CNIL e l’AFCDP pubblicano la quarta indagine condotta nel 2024 nell’ambito dell’Osservatorio dedicato alla professione di DPO. Questo studio, affidato all’Afpa, ha mobilitato 3.625 intervistati del DPO, una partecipazione record sin dalla sua prima edizione nel 2019.
Dal 2018, la Delegazione generale per l’occupazione e la formazione professionale (DGEFP) e la Commissione nazionale per l’informatica e le libertà (CNIL), in collaborazione con l’Associazione francese dei corrispondenti per la protezione dei dati (AFCDP), studiano le questioni in termini di occupazione e competenze legati al GDPR e più in particolare all’evoluzione della funzione del responsabile della protezione dei dati (DPO).
Per condurre questo studio, il DGEFP ha mobilitato l’Agenzia per la formazione professionale degli adulti (Afpa) come parte della sua missione di servizio pubblico al fine di fornire la sua esperienza nella progettazione e nel monitoraggio dell’osservatorio. In totale, hanno risposto 3.625 DPO – un record dalla creazione di questo osservatorio – di cui 2.842 interni, 366 condivisi e 417 esterni.
Il profilo degli DPO nel 2024
La dimensione dell’organizzazione influenza il profilo del DPO e la sua specializzazione
Maggiore è la dimensione dell’organizzazione, maggiore è il numero dei profili legali rappresentati. Viceversa, quanto più piccola è l’organizzazione, tanto più numerosi sono i DPO diversi dai profili “informatici” e “legali”.
- Il 78% svolge il ruolo di DPO interno
- Il 70% lavora fuori dall’Île-de-France
- 51% donne e 49% uomini
- Il 60% proviene dall’istruzione superiore (master o dottorato)
- Il 69% ha 40 anni e più
- Il 61% ha un’anzianità nella posizione compresa tra 3 e 5 anni
Ricordo
A seconda delle scelte organizzative delle strutture, si distinguono 3 tipologie di DPO:
- il DPO interno, che è dipendente di una singola organizzazione;
- il DPO interno condiviso, che è dipendente comune di più titolari del trattamento;
- il DPO esterno, indipendente, ovvero il dipendente di un’organizzazione specializzata (organizzazioni pubbliche di servizi digitali, società di consulenza, studio legale, ecc.).
Più DPO in strutture piccole, ma con meno risorse
Pur notando una stabilizzazione di alcuni elementi come la distribuzione per età, la territorializzazione, le tipologie contrattuali, alcune caratteristiche degli intervistati hanno subito cambiamenti significativi tra il 2019 e il 2024.
- Il 57% degli intervistati DPO interni e condivisi lavora in strutture con meno di 250 dipendenti (+19 punti rispetto al 2019). Questo sviluppo all’interno di strutture più piccole è spesso associato a minori risorse e alla predominanza di profili DPO provenienti da aree di competenza “al di fuori del settore legale e informatico”. Questo sviluppo comporta il rischio che questi DPO siano meno capaci di valutare i rischi e svolgere le loro missioni.
- L’85% degli intervistati lavora part-time (di cui il 61% dedica meno del 25% del proprio orario di lavoro alle missioni del DPO)
- Il 72% degli intervistati DPO interni e condivisi ritiene che le proprie raccomandazioni vengano ascoltate e seguite regolarmente
- Il 62% dei DPO che rispondono vengono contattati quando l’argomento GDPR viene discusso al più alto livello
- Il 91% è convinto dell’utilità sociale della funzione e professione del DPO per la tutela dei dati personali di clienti, utenti, cittadini
- Il 54% degli intervistati è soddisfatto dello svolgimento del proprio ruolo
Per illustrare lo studio sono state prodotte diverse schede tematiche che riassumono i dati salienti:
- Caratteristiche ed evoluzione dei DPO dal 2019 al 2024
- Chi sono i DPO interni e condivisi delle strutture con meno di 250 dipendenti?
- Chi sono i DPO interni e condivisi provenienti da aree di competenza esterne all’IT e al legale?
- Chi sono i RPD recentemente designati presso la CNIL?
Punti di vigilanza e prossimi progetti
In questo contesto, la CNIL rafforzerà la propria vigilanza sulle fasi di designazione (elementi di verifica da parte del titolare del trattamento prima di designare un DPO, miglioramento delle informazioni e raccomandazioni in caso di assunzione dell’incarico) e sui mezzi concessi ai DPO per svolgere l’incarico. missioni (tempo a disposizione/dimensione/numero di organizzazioni nell’ambito, informazioni dal DPO durante la progettazione di progetti, formazione per il DPO, ecc.).
Verranno proposti nuovi strumenti per contribuire a questo miglioramento in consultazione con le associazioni dei DPO (ad esempio: modello di rapporto annuale, lettera di missione, nuove email ai DPO e ai responsabili del trattamento previa designazione, ecc.)
Risorse della CNIL
La CNIL accompagna i delegati dalla loro nomina e durante l’esercizio delle loro missioni. Il sito web della CNIL contiene numerose risorse per supportare gli RPD nell’assunzione delle loro funzioni e per rispondere a domande relative all’attuazione del GDPR.
Durante il loro percorso, gli DPO possono fare riferimento alla guida DPO per trovare le disposizioni del GDPR e la posizione della CNIL, in particolare sulle risorse che devono essere loro assegnate, il modo di garantire la loro indipendenza, le buone pratiche, ecc.
Vengono messi a loro disposizione anche numerosi strumenti pratici, come ad esempio lo strumento PIA per l’analisi dell’impatto sulla protezione dei dati. Gli DPO possono perfezionare la comprensione dei testi consultando le linee guida del Comitato europeo per la protezione dei dati, tenersi aggiornati sull’evoluzione della posizione della CNIL consultando le sue produzioni settoriali, le sanzioni e i bandi pubblici, ed effettuando un’autovalutazione della maturità della protezione dei dati della loro organizzazione.