DPO in possibile conflitto di interesse

Il 16 gennaio il Comitato Europeo per la Protezione dei Dati (EDPB), ha pubblicato il report contenente i risultati dell’azione coordinata di enforcement (“CEF”) condotta nel corso del 2023. L’indagine ha rilevato molteplici situazioni di DPO operanti in possibile conflitto di interessi ed evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi. Fra le iniziative, secondo l’EDPB, serve accrescere la consapevolezza in merito alla posizione di indipendenza del DPO.

L’indipendenza del DPO

Ai sensi dell’articolo 38, paragrafo 6, del GDPR, al DPO è consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Tale disposizione deriva dall’obbligo imposto al DPO di operare con un grado sufficiente di autonomia e indipendenza, come previsto dall’articolo 38 e dal considerando 97, il quale prevede che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Assegnare ulteriori compiti e funzioni, quindi, è possibile, ma è necessario accertarsi che i requisiti di autonomia e indipendenza siano rispettati. Tale valutazione risulta, spesso, particolarmente complessa. Alcuni casi concreti ci vengono in aiuto.

Casi di DPO in conflitto di interessi e sanzioni

Ricordiamo che, secondo le Linee guida di riferimento (Linee guida sui responsabili della protezione dei dati e sentenza della CGUE nel caso C-453/21, X-Fab Dresden GmbH & Co. KG.) , il DPO risulta, per definizione, in conflitto di interessi quando riveste, all’interno dell’organizzazione titolare del trattamento, ruoli che comportino la definizione di finalità o modalità del trattamento di dati personali. Si tratta di situazioni da valutare caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento.

Alcune recenti sanzioni ci aiutano in tale valutazione:

• DPO direttore di un Hotel. L’Autorità Garante della Croazia (AZOP) ha rilevato un caso di conflitto di interessi in quanto il direttore di un hotel rivestiva anche il ruolo di DPO ed era responsabile sia dell’adozione di decisioni di gestione sul trattamento dei dati sia di garantire la conformità di tali attività di trattamento. L’AZOP ha sanzionato per un importo pari a 15.000 euro. 
• DPO responsabile della conformità, della gestione del rischio e dell’audit interno. Il Garante del Belgio (APD) ha rilevato un conflitto di interessi in considerazione del fatto che il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno. L’APD ha sanzionato per importo pari a 50.000 euro.
• DPO responsabile della conformità e dell’antiriciclaggio di denaro. Anche secondo il CNPD (Autorità garante del Lussemburgo), si trova in conflitto di interessi il DPO coinvolto nella determinazione e nell’attuazione del trattamento dei dati personali nell’ambito delle funzioni di responsabile della conformità (compliance manager).
• DPO presidente del Consiglio aziendale. La Corte del Lavoro tedesca ha confermato la presenza di un conflitto di interessi qualora il DPO si trovi ad operare, all’interno dell’organizzazione, anche in qualità di presidente del Consiglio aziendale.
• DPO amministratore delegato. L’Autorità tedesca (BInBDI) ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento e sanzionato per un importo pari a 525.000 euro.

Le criticità del DPO interno

Oltre ai casi sanzionati, il WP29 (oggi EDPB) specifica che possono sussistere situazioni di conflitto, all’interno dell’organizzazione, sia riguardo a ruoli manageriali di vertice, sia rispetto a posizioni gerarchicamente inferiori.

A titolo esemplificativo, le Linee guida sul DPO riportano i seguenti ruoli:

• amministratore delegato,
• responsabile operativo,
• responsabile finanziario,
• responsabile sanitario,
• direzione marketing,
• direzione risorse umane,
• responsabile IT.

Inoltre, alcuni commentatori hanno anche sostenuto che un possibile indicatore di conflitto di interessi è legato ai casi in cui il DPO può beneficiare economicamente del successo dell’organizzazione per cui lavora. Ne deriva che la designazione di un DPO interno può risultare particolarmente critica. Come evitare il rischio di sanzioni?

Come evitare conflitti di interessi e sanzioni

Abbiamo compreso che i casi in cui può verificarsi un conflitto di interessi sono molteplici, in particolare se il DPO opera all’interno dell’organizzazione del titolare.

Al momento dell’assegnazione dell’incarico, pertanto, è essenziale che il titolare valuti attentamente se:

A. procedere con l’individuazione del DPO all’interno dell’organizzazione, considerando la necessità di:

• selezionare un soggetto con competenze adeguate all’incarico;
• istruire il DPO interno mediante appositi corsi di formazione, da svolgersi a cadenza periodica regolarmente;
• destinare risorse adeguate a consentire allo stesso lo svolgimento dell’incarico in autonomia;
• assicurarsi che lo stesso agisca in modo indipendente mediante l’implementazione di apposite garanzie e misure organizzative.
•  

Se sei interessato a verificare che il tuo DPO interno agisca in piena indipendenza e che la tua organizzazione sia conforme, ti invitiamo a rispondere a 10 semplici domande. Senza impegno, i nostri esperti saranno in grado di consigliarti la migliore soluzione per la conformità normativa.

B. preferire un DPO esterno, soluzione che abbatte i rischi di conflitto di interessi e fornisce maggiori garanzie in termini di qualifiche, formazione, competenze e professionalità.

Se ti interessa valutare l’affidamento dell’incarico ad un DPO esterno, ti invitiamo a scrivere all’indirizzo info@laborproject.it per avere un preventivo gratuito. Labor Project, attraverso la divisione “DPO Professional Service” offre un contratto di servizi (ex art. 37, par. 6, del GDPR) ed un team di comprovata esperienza che svolgerà per conto del cliente i compiti richiesti dall’art. 39 del GDPR.