Una delle novità introdotte dal nuovo regolamento UE 2016/679, è quella relativa al data protection officer (dpo). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.
E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.
Perché allora la società è stata sanzionata? il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.
Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo.
Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.
A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29, hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.
Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.
Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.
