Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema

 
 
 

La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO) operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Alcune Autorità europee si sono già attivate: sanzionate, in particolare, organizzazioni che avevano designato un DPO interno.  

  • È meglio un DPO esterno quindi?
  • Data Protection Officer e conflitto di interesse, come prevenire ed accertarsi che non ci si presenti

 

DPO in possibile conflitto di interesse

Il 16 gennaio il Comitato Europeo per la Protezione dei Dati (EDPB), ha pubblicato il report contenente i risultati dell’azione coordinata di enforcement (“CEF”) condotta nel corso del 2023. L’indagine ha rilevato molteplici situazioni di DPO operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Fra le iniziative, secondo l’EDPB, serve accrescere la consapevolezza in merito alla posizione di indipendenza del DPO.

 

L’indipendenza del DPO

Ai sensi dell’articolo 38, paragrafo 6, del GDPR, al DPO è consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Tale disposizione deriva dall’obbligo imposto al DPO di operare con un grado sufficiente di autonomia e indipendenza, come previsto dall’articolo 38 e dal considerando 97, il quale prevede che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Assegnare ulteriori compiti e funzioni, quindi, è possibile, ma è necessario accertarsi che i requisiti di autonomia e indipendenza siano rispettati. Tale valutazione risulta, spesso, particolarmente complessa. Alcuni casi concreti ci vengono in aiuto.

 

Casi di DPO in conflitto di interessi e sanzioni

Ricordiamo che, secondo le Linee guida di riferimento (Linee guida sui responsabili della protezione dei dati e sentenza della CGUE nel caso C-453/21, X-Fab Dresden GmbH & Co. KG.) , il DPO risulta, per definizione, in conflitto di interessi quando riveste, all’interno dell’organizzazione titolare del trattamento, ruoli che comportino la definizione di finalità o modalità del trattamento di dati personali. Si tratta di situazioni da valutare caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento.

Alcune recenti sanzioni ci aiutano in tale valutazione:

  • DPO direttore di un Hotel. L’Autorità Garante della Croazia (AZOP) ha rilevato un caso di conflitto di interessi in quanto il direttore di un hotel rivestiva anche il ruolo di DPO ed era responsabile sia dell’adozione di decisioni di gestione sul trattamento dei dati sia di garantire la conformità di tali attività di trattamento. L’AZOP ha sanzionato per un importo pari a 15.000 euro. 
  • DPO responsabile della conformità, della gestione del rischio e dell’audit interno. Il Garante del Belgio (APD) ha rilevato un conflitto di interessi in considerazione del fatto che il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno. L’APD ha sanzionato per importo pari a 50.000 euro.
  • DPO responsabile della conformità e dell’antiriciclaggio di denaro. Anche secondo il CNPD (Autorità garante del Lussemburgo), si trova in conflitto di interessi il DPO coinvolto nella determinazione e nell’attuazione del trattamento dei dati personali nell’ambito delle funzioni di responsabile della conformità (compliance manager).
  • DPO presidente del Consiglio aziendale. La Corte del Lavoro tedesca ha confermato la presenza di un conflitto di interessi qualora il DPO si trovi ad operare, all’interno dell’organizzazione, anche in qualità di presidente del Consiglio aziendale.
  • DPO amministratore delegato. L’Autorità tedesca (BInBDI) ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento e sanzionato per un importo pari a 525.000 euro.

 

Le criticità del DPO interno

Oltre ai casi sanzionati, il WP29 (oggi EDPB) specifica che possono sussistere situazioni di conflitto, all’interno dell’organizzazione, sia riguardo a ruoli manageriali di vertice, sia rispetto a posizioni gerarchicamente inferiori.

A titolo esemplificativo, le Linee guida sul DPO riportano i seguenti ruoli:

  • amministratore delegato,
  • responsabile operativo,
  • responsabile finanziario,
  • responsabile sanitario,
  • direzione marketing,
  • direzione risorse umane,
  • responsabile IT.

Inoltre, alcuni commentatori hanno anche sostenuto che un possibile indicatore di conflitto di interessi è legato ai casi in cui il DPO può beneficiare economicamente del successo dell’organizzazione per cui lavora. Ne deriva che la designazione di un DPO interno può risultare particolarmente critica. Come evitare il rischio di sanzioni?

 

Come evitare conflitti di interessi e sanzioni

Abbiamo compreso che i casi in cui può verificarsi un conflitto di interessi sono molteplici, in particolare se il DPO opera all’interno dell’organizzazione del titolare.

Al momento dell’assegnazione dell’incarico, pertanto, è essenziale che il titolare valuti attentamente se:

A. procedere con l’individuazione del DPO all’interno dell’organizzazione, considerando la necessità di:

  • selezionare un soggetto con competenze adeguate all’incarico;
  • istruire il DPO interno mediante appositi corsi di formazione, da svolgersi a cadenza periodica regolarmente;
  • destinare risorse adeguate a consentire allo stesso lo svolgimento dell’incarico in autonomia;
  • assicurarsi che lo stesso agisca in modo indipendente mediante l’implementazione di apposite garanzie e misure organizzative.
  •  

 

Se sei interessato a verificare che il tuo DPO interno agisca in piena indipendenza e che la tua organizzazione sia conforme, ti invitiamo a rispondere a 10 semplici domande. Senza impegno, i nostri esperti saranno in grado di consigliarti la migliore soluzione per la conformità normativa.

 

B. preferire un DPO esterno, soluzione che abbatte i rischi di conflitto di interessi e fornisce maggiori garanzie in termini di qualifiche, formazione, competenze e professionalità.

Se ti interessa valutare l’affidamento dell’incarico ad un DPO esterno, ti invitiamo a scrivere all’indirizzo info@laborproject.it per avere un preventivo gratuito. Labor Project, attraverso la divisione “DPO Professional Service” offre un contratto di servizi (ex art. 37, par. 6, del GDPR) ed un team di comprovata esperienza che svolgerà per conto del cliente i compiti richiesti dall’art. 39 del GDPR.

Follow us on
Our Gallery