La relazione annuale del DPO al vertice gerarchico dell’azienda, è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.
La relazione annuale del DPO, ha una duplice funzione:
_ per il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.
Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.
- strutturarla in modo poco dettagliato
- omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
- incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
- elenco DPIA attivate non aggiornato
- elenco DATA BREACH non aggiornato
- assenza programmazione verifiche/audit per l’anno successivo
- indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
- Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
- nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .