La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema

 
 
 

La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO) operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Alcune Autorità europee si sono già attivate: sanzionate, in particolare, organizzazioni che avevano designato un DPO interno.  

  • È meglio un DPO esterno quindi?
  • Data Protection Officer e conflitto di interesse, come prevenire ed accertarsi che non ci si presenti

 

DPO in possibile conflitto di interesse

Il 16 gennaio il Comitato Europeo per la Protezione dei Dati (EDPB), ha pubblicato il report contenente i risultati dell’azione coordinata di enforcement (“CEF”) condotta nel corso del 2023. L’indagine ha rilevato molteplici situazioni di DPO operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Fra le iniziative, secondo l’EDPB, serve accrescere la consapevolezza in merito alla posizione di indipendenza del DPO.

 

L’indipendenza del DPO

Ai sensi dell’articolo 38, paragrafo 6, del GDPR, al DPO è consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Tale disposizione deriva dall’obbligo imposto al DPO di operare con un grado sufficiente di autonomia e indipendenza, come previsto dall’articolo 38 e dal considerando 97, il quale prevede che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Assegnare ulteriori compiti e funzioni, quindi, è possibile, ma è necessario accertarsi che i requisiti di autonomia e indipendenza siano rispettati. Tale valutazione risulta, spesso, particolarmente complessa. Alcuni casi concreti ci vengono in aiuto.

 

Casi di DPO in conflitto di interessi e sanzioni

Ricordiamo che, secondo le Linee guida di riferimento (Linee guida sui responsabili della protezione dei dati e sentenza della CGUE nel caso C-453/21, X-Fab Dresden GmbH & Co. KG.) , il DPO risulta, per definizione, in conflitto di interessi quando riveste, all’interno dell’organizzazione titolare del trattamento, ruoli che comportino la definizione di finalità o modalità del trattamento di dati personali. Si tratta di situazioni da valutare caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento.

Alcune recenti sanzioni ci aiutano in tale valutazione:

  • DPO direttore di un Hotel. L’Autorità Garante della Croazia (AZOP) ha rilevato un caso di conflitto di interessi in quanto il direttore di un hotel rivestiva anche il ruolo di DPO ed era responsabile sia dell’adozione di decisioni di gestione sul trattamento dei dati sia di garantire la conformità di tali attività di trattamento. L’AZOP ha sanzionato per un importo pari a 15.000 euro. 
  • DPO responsabile della conformità, della gestione del rischio e dell’audit interno. Il Garante del Belgio (APD) ha rilevato un conflitto di interessi in considerazione del fatto che il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno. L’APD ha sanzionato per importo pari a 50.000 euro.
  • DPO responsabile della conformità e dell’antiriciclaggio di denaro. Anche secondo il CNPD (Autorità garante del Lussemburgo), si trova in conflitto di interessi il DPO coinvolto nella determinazione e nell’attuazione del trattamento dei dati personali nell’ambito delle funzioni di responsabile della conformità (compliance manager).
  • DPO presidente del Consiglio aziendale. La Corte del Lavoro tedesca ha confermato la presenza di un conflitto di interessi qualora il DPO si trovi ad operare, all’interno dell’organizzazione, anche in qualità di presidente del Consiglio aziendale.
  • DPO amministratore delegato. L’Autorità tedesca (BInBDI) ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento e sanzionato per un importo pari a 525.000 euro.

 

Le criticità del DPO interno

Oltre ai casi sanzionati, il WP29 (oggi EDPB) specifica che possono sussistere situazioni di conflitto, all’interno dell’organizzazione, sia riguardo a ruoli manageriali di vertice, sia rispetto a posizioni gerarchicamente inferiori.

A titolo esemplificativo, le Linee guida sul DPO riportano i seguenti ruoli:

  • amministratore delegato,
  • responsabile operativo,
  • responsabile finanziario,
  • responsabile sanitario,
  • direzione marketing,
  • direzione risorse umane,
  • responsabile IT.

Inoltre, alcuni commentatori hanno anche sostenuto che un possibile indicatore di conflitto di interessi è legato ai casi in cui il DPO può beneficiare economicamente del successo dell’organizzazione per cui lavora. Ne deriva che la designazione di un DPO interno può risultare particolarmente critica. Come evitare il rischio di sanzioni?

 

Come evitare conflitti di interessi e sanzioni

Abbiamo compreso che i casi in cui può verificarsi un conflitto di interessi sono molteplici, in particolare se il DPO opera all’interno dell’organizzazione del titolare.

Al momento dell’assegnazione dell’incarico, pertanto, è essenziale che il titolare valuti attentamente se:

A. procedere con l’individuazione del DPO all’interno dell’organizzazione, considerando la necessità di:

  • selezionare un soggetto con competenze adeguate all’incarico;
  • istruire il DPO interno mediante appositi corsi di formazione, da svolgersi a cadenza periodica regolarmente;
  • destinare risorse adeguate a consentire allo stesso lo svolgimento dell’incarico in autonomia;
  • assicurarsi che lo stesso agisca in modo indipendente mediante l’implementazione di apposite garanzie e misure organizzative.
  •  

 

Se sei interessato a verificare che il tuo DPO interno agisca in piena indipendenza e che la tua organizzazione sia conforme, ti invitiamo a rispondere a 10 semplici domande. Senza impegno, i nostri esperti saranno in grado di consigliarti la migliore soluzione per la conformità normativa.

 

B. preferire un DPO esterno, soluzione che abbatte i rischi di conflitto di interessi e fornisce maggiori garanzie in termini di qualifiche, formazione, competenze e professionalità.

Se ti interessa valutare l’affidamento dell’incarico ad un DPO esterno, ti invitiamo a scrivere all’indirizzo info@laborproject.it per avere un preventivo gratuito. Labor Project, attraverso la divisione “DPO Professional Service” offre un contratto di servizi (ex art. 37, par. 6, del GDPR) ed un team di comprovata esperienza che svolgerà per conto del cliente i compiti richiesti dall’art. 39 del GDPR.

Follow us on
Our Gallery