Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

GDPR e trasferimento dati: aggiornate le decisioni di adeguatezza con la svizzera in primo piano   Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE ha stabilito regole stringenti per il trasferimento di dati personali oltre i confini europei. Secondo l'Articolo…

Fare Impresa con i Dati: l'Eccellenza in Brianza Siamo felici di essere stati protagonisti della rubrica “Imprese e Lavoro” del quotidiano La Provincia di Como di questa settimana. Un’occasione per confermare le nostre abilità e capacità che offriamo alle aziende…

La privacy fra i pilastri della sostenibilità d’impresa: 10 suggerimenti per la rendicontazione ESG Gli investimenti in ESG continuano ad aumentare: secondo recenti indagini le aziende sono oggi più consapevoli dell’importanza della rendicontazione sulla sostenibilità, sia per rendere più verde…

Natale e privacy: raccomandazioni per la data protection Durante le feste, ogni anno, si moltiplicano le minacce per la privacy. I rischi più comuni derivano sia da fonti esterne, quali cyber criminali che puntano sullo spirito natalizio per sferrare attacchi…

Password sicure, come fare? Nuove Linee Guida del Garante e ACN Con il Provvedimento del 7 dicembre 2023  l’Autorità Garante per la protezione dei dati personali ha adottato le “Linee Guida Funzioni Crittografiche – Conservazione delle Password”, che includono sia…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema

 
 
 

La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO) operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Alcune Autorità europee si sono già attivate: sanzionate, in particolare, organizzazioni che avevano designato un DPO interno.  

  • È meglio un DPO esterno quindi?
  • Data Protection Officer e conflitto di interesse, come prevenire ed accertarsi che non ci si presenti

 

DPO in possibile conflitto di interesse

Il 16 gennaio il Comitato Europeo per la Protezione dei Dati (EDPB), ha pubblicato il report contenente i risultati dell’azione coordinata di enforcement (“CEF”) condotta nel corso del 2023. L’indagine ha rilevato molteplici situazioni di DPO operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Fra le iniziative, secondo l’EDPB, serve accrescere la consapevolezza in merito alla posizione di indipendenza del DPO.

 

L’indipendenza del DPO

Ai sensi dell’articolo 38, paragrafo 6, del GDPR, al DPO è consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Tale disposizione deriva dall’obbligo imposto al DPO di operare con un grado sufficiente di autonomia e indipendenza, come previsto dall’articolo 38 e dal considerando 97, il quale prevede che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Assegnare ulteriori compiti e funzioni, quindi, è possibile, ma è necessario accertarsi che i requisiti di autonomia e indipendenza siano rispettati. Tale valutazione risulta, spesso, particolarmente complessa. Alcuni casi concreti ci vengono in aiuto.

 

Casi di DPO in conflitto di interessi e sanzioni

Ricordiamo che, secondo le Linee guida di riferimento (Linee guida sui responsabili della protezione dei dati e sentenza della CGUE nel caso C-453/21, X-Fab Dresden GmbH & Co. KG.) , il DPO risulta, per definizione, in conflitto di interessi quando riveste, all’interno dell’organizzazione titolare del trattamento, ruoli che comportino la definizione di finalità o modalità del trattamento di dati personali. Si tratta di situazioni da valutare caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento.

Alcune recenti sanzioni ci aiutano in tale valutazione:

  • DPO direttore di un Hotel. L’Autorità Garante della Croazia (AZOP) ha rilevato un caso di conflitto di interessi in quanto il direttore di un hotel rivestiva anche il ruolo di DPO ed era responsabile sia dell’adozione di decisioni di gestione sul trattamento dei dati sia di garantire la conformità di tali attività di trattamento. L’AZOP ha sanzionato per un importo pari a 15.000 euro. 
  • DPO responsabile della conformità, della gestione del rischio e dell’audit interno. Il Garante del Belgio (APD) ha rilevato un conflitto di interessi in considerazione del fatto che il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno. L’APD ha sanzionato per importo pari a 50.000 euro.
  • DPO responsabile della conformità e dell’antiriciclaggio di denaro. Anche secondo il CNPD (Autorità garante del Lussemburgo), si trova in conflitto di interessi il DPO coinvolto nella determinazione e nell’attuazione del trattamento dei dati personali nell’ambito delle funzioni di responsabile della conformità (compliance manager).
  • DPO presidente del Consiglio aziendale. La Corte del Lavoro tedesca ha confermato la presenza di un conflitto di interessi qualora il DPO si trovi ad operare, all’interno dell’organizzazione, anche in qualità di presidente del Consiglio aziendale.
  • DPO amministratore delegato. L’Autorità tedesca (BInBDI) ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento e sanzionato per un importo pari a 525.000 euro.

 

Le criticità del DPO interno

Oltre ai casi sanzionati, il WP29 (oggi EDPB) specifica che possono sussistere situazioni di conflitto, all’interno dell’organizzazione, sia riguardo a ruoli manageriali di vertice, sia rispetto a posizioni gerarchicamente inferiori.

A titolo esemplificativo, le Linee guida sul DPO riportano i seguenti ruoli:

  • amministratore delegato,
  • responsabile operativo,
  • responsabile finanziario,
  • responsabile sanitario,
  • direzione marketing,
  • direzione risorse umane,
  • responsabile IT.

Inoltre, alcuni commentatori hanno anche sostenuto che un possibile indicatore di conflitto di interessi è legato ai casi in cui il DPO può beneficiare economicamente del successo dell’organizzazione per cui lavora. Ne deriva che la designazione di un DPO interno può risultare particolarmente critica. Come evitare il rischio di sanzioni?

 

Come evitare conflitti di interessi e sanzioni

Abbiamo compreso che i casi in cui può verificarsi un conflitto di interessi sono molteplici, in particolare se il DPO opera all’interno dell’organizzazione del titolare.

Al momento dell’assegnazione dell’incarico, pertanto, è essenziale che il titolare valuti attentamente se:

A. procedere con l’individuazione del DPO all’interno dell’organizzazione, considerando la necessità di:

  • selezionare un soggetto con competenze adeguate all’incarico;
  • istruire il DPO interno mediante appositi corsi di formazione, da svolgersi a cadenza periodica regolarmente;
  • destinare risorse adeguate a consentire allo stesso lo svolgimento dell’incarico in autonomia;
  • assicurarsi che lo stesso agisca in modo indipendente mediante l’implementazione di apposite garanzie e misure organizzative.
  •  

 

Se sei interessato a verificare che il tuo DPO interno agisca in piena indipendenza e che la tua organizzazione sia conforme, ti invitiamo a rispondere a 10 semplici domande. Senza impegno, i nostri esperti saranno in grado di consigliarti la migliore soluzione per la conformità normativa.

 

B. preferire un DPO esterno, soluzione che abbatte i rischi di conflitto di interessi e fornisce maggiori garanzie in termini di qualifiche, formazione, competenze e professionalità.

Se ti interessa valutare l’affidamento dell’incarico ad un DPO esterno, ti invitiamo a scrivere all’indirizzo info@laborproject.it per avere un preventivo gratuito. Labor Project, attraverso la divisione “DPO Professional Service” offre un contratto di servizi (ex art. 37, par. 6, del GDPR) ed un team di comprovata esperienza che svolgerà per conto del cliente i compiti richiesti dall’art. 39 del GDPR.

Follow us on
Our Gallery