Conflitto di interessi e mancanza d’indipendenza del DPO

Reading Time: 3 minutes

Come è noto, dal 25 maggio del 2018 il GDPR, il regolamento europeo sulla protezione dei dati personali, ha piena efficacia; tuttavia bisogna rilevare che l’introduzione dell’obbligo di nomina del DPO ha portato in alcuni casi, all’adozione di soluzioni non conformi alla normativa e in grado di integrare conflitti di interessi.

Proprio per tale ragione, cercherò di far luce su quali siano le “best practice” da seguire per evitare situazioni di possibile conflitto di interessi e sottolineare le funzioni svolte dalla figura del DPO, la cui nomina non dovrebbe costituire un atto di adempimento meramente formale, ma un atto strumentale alla costruzione di un efficace modello di gestione dei dati personali.

L’evidente ruolo di “controllore” della conformità dell’ente al GDPR, assegnato dalla legge al DPO, comporta di per sé una situazione di incompatibilità della carica rispetto a ruoli, funzioni aziendali o incarichi professionali ovvero posizioni organizzative, responsabili di procedimenti di Enti pubblici tali da poter porre in essere un conflitto di interessi.

Se leggiamo le “Linee-guida sui responsabili della protezione dei dati (RPD)” del WP29 sia il Position Paper del 30.9.2018 dell’EDPS, hanno evidenziato che può verificarsi un conflitto di interessi laddove il ruolo di DPO sia svolto da soggetti particolarmente “attivi” nella gestione del trattamento dei dati personali, ad esempio perché concorrono a determinare le finalità e le modalità del trattamento dei dati personali o perché li trattano con regolarità.

Così come da soggetti che svolgono funzioni di controllo o comunque da coloro che, senza ricoprire posizioni di vertice, sono addetti alla compliance aziendale e che potrebbero, ad esempio, trovarsi a verificare la correttezza dei processi di conformità da loro stessi implementati.

A tal proposito, è importante ricordare le funzioni del DPO:
il DPO è un professionista esperto dotato di competenze specifiche e specialistiche in materia di protezione dei dati, con particolare riferimento alla conoscenza della normativa e delle prassi in materia;

● indipendente (considerando 97);
● in una posizione tale da non dare “adito a un conflitto di interessi” (art. 38, c. 6, GDPR).
● “fornire assistenza” (considerando 97 GDPR) e consulenza al designante in condizioni di assoluta autonomia e indipendenza (cfr. spec. art. 38 commi 3 e 6 GDPR);
● verificare l’applicazione e l’attuazione sia delle norme sia delle politiche dettate dal designante relativamente al trattamento dei dati personali (cfr. art. 39 c.1, lett. b);
● fungere da interlocutore dell’Autorità Garante e degli interessati (cfr. art. 39 e 38 c. 4);
● in una posizione tale da riferire al più alto livello gerarchico (art. 38, c. 3, GDPR), come il CdA (cfr. WP29);
● “sorvegliare l’osservanza” di tutte le norme e delle politiche del designante in ordine al trattamento dei dati personali “compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (art. 39 c.1, lett. b).

In data 28 aprile 2020 il Garante Belga è intervenuto sull’incarico del DPO di un’azienda che si trovava in una situazione di conflitto di interessi.
Il Garante nella fattispecie, ha irrogato un importo di 55.000€ all’amministrazione.

Nel caso in esame, l’Autorità Garante Belga ha rilevato, che il DPO dell’Azienda non fosse sufficientemente coinvolto nelle discussioni in merito ad eventuali violazioni dei dati personali subite dall’Azienda, come richiesto dall’art. 38, co. 1, del GDPR. e che il DPO non si trovasse in una posizione sufficientemente libera da conflitti di interesse, come richiesto dall’art. 38, co. 6, del GDPR, in quanto lo stesso svolgeva anche la funzione di responsabile dei dipartimenti di compliance, risk management e internal audit dell’Azienda convenuta.