DATA PROTECTION OFFICER: ATTENZIONE AL CONFLITTO DI INTERESSI / by Giampietro Malusa

Il nuovo Regolamento Privacy Europeo impone, in taluni casi, la nomina di un Data Protection Officer.

Fra i requisiti da valutare nella scelta, oltre alle qualità personali e alla preparazione in materia del soggetto, sarà necessario verificare l’assenza di conflitti di interesse.

Nei mesi scorsi è apparsa la notizia di una multa emessa dal Garante per la privacy tedesco nei confronti di una società che aveva designato come DPO il proprio manager IT. Sebbene la stessa sia stata inflitta sulla base del Federal Data Protection Act, è da notare che il principio su cui la sanzione poggia è quello espresso in materia dal nuovo Regolamento Privacy Europeo, che sarà applicabile dal 25 maggio 2018.

Ai sensi dell’art. 38, comma 6 del Regolamento Privacy Europeo, infatti, “il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

Fra l’altro, il precedente art. 37, comma 6 prevede che il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il WP29 (Gruppo di lavoro dei Garanti europei), nelle linee guida adottate lo scorso 13 dicembre sul DPO, ha chiarito che il medesimo non può rivestire una posizione all’interno dell’organizzazione tale da consentirgli di stabilire i fini e le modalità di trattamento dei dati personali.

Il Gruppo di lavoro ha sottolineato come si debba procedere a una valutazione caso per caso, dipendendo essa dalle attività, dalla dimensione e dalla struttura dell’organizzazione.

Ad ogni modo, vengono suggeriti, come esempi di “good practice”, i seguenti comportamenti:

-       “identificare le funzioni che sarebbero incompatibili con la funzione di DPO;

-       definire regole interne per evitare conflitti di interesse;

-       includere una più generale spiegazione riguardo ai conflitti di interesse;

-       dichiarare che il proprio DPO non ha alcun conflitto di interesse in relazione alle sue funzioni di DPO, in modo da aumentare la consapevolezza di questo requisito”.

Come opportunamente evidenziato nelle linee guida sopra menzionate, l’assenza di conflitti di interessi è strettamente collegata all’indispensabile requisito di indipendenza del DPO nello svolgimento dei propri compiti.

Proprio in relazione a quest’ultimo requisito, analizzando i doveri del titolare e del responsabile del trattamento in rapporto al DPO, il WP29 ha anche sottolineato che il loro principale dovere è di garantire l’indipendenza di quest’ultimo, ad esempio fornendogli diretto contatto col top management. Ma non solo. Ovviamente, si deve dare supporto al DPO, garantire il suo necessario coinvolgimento in tutte le attività rilevanti in materia di privacy e la sua costante formazione in materia. Del resto, è stato sottolineato, il ruolo del DPO non è quello di un ufficiale di polizia: egli dovrà riferire al top management in modo che questo possa decidere le azioni più appropriate.

 

Fonti:   Commissione Europea   http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

            Corriere Comunicazioni   http://www.corrierecomunicazioni.it/digital/45003_privacy-data-protection-officer-incompatibile-con-il-manager-it.htm