Con la decisione n. 18/2020, l’Autorità di controllo sulla protezione dei dati personali del Belgio (Apd) ha posto un nuovo ed importante tassello nella definizione della figura del Responsabile della Protezione dei dati personali, meglio noto come Data Protection Officer (Dpo), inserendosi a pieno titolo nel persistente dibattito sul Dpo interno o esterno.
Facendo seguito ad alcune ispezioni poste in essere per accertamenti successivi ad una violazione dei dati personali, l’Autorità belga ha analizzato alcuni elementi emersi circa la posizione del Dpo all’interno della società. Due sono stati gli elementi portanti dell’analisi e dunque del provvedimento: la presunta violazione dell’art. 38.1 del Gdpr, in quanto era emerso che il Data Protection Officer non fosse coinvolto by-default in tutti i processi che avevano ad oggetto il trattamento di dati personali; e la presunta violazione dell’art. 38.6 Gdpr, alla luce dei molteplici ruoli ricoperti, all’interno della società titolare del trattamento, dallo stesso soggetto nominato Dpo, cioè di capo dei dipartimenti di Compliance, Risk management e Audit.
Circa il primo punto, l’Autorità non ha perso occasione di ribadire un obbligo di legge essenziale: il coinvolgimento del Dpo è parte fondamentale dello schema operativo di valutazione delle operazioni di trattamento da parte del titolare. Tuttavia, è bene sottolineare che tale centralità del ruolo del Responsabile della Protezione dei Dati non mina, in alcun modo, il ruolo naturale del titolare, motore immobile iniziale e finale della vicenda del trattamento dei dati. Infatti, per quanto sia da considerarsi tra gli elementi, ex art. 25 Gdpr, della privacy-by-design nei processi di business, la consulenza del Dpo resa ai sensi dell’art. 39.1(a) Gdpr non è mai idonea a strutturare, approntare, autorizzare alcuna scelta relativa al trattamento, che resta sempre opzione nelle mani del titolare, che può assumere decisioni (ad esempio, in relazione al risk assessment) anche diametralmente opposte a quelle suggerite dal Dpo, motivandole adeguatamente, anche per integrare gli obblighi di accountability, e rendendone comunque edotto il Dpo
Ma lo snodo vero del provvedimento è relativo alla posizione che il Dpo assume all’interno del contesto aziendale, non potendo in alcun modo coincidere con posizioni rappresentative della titolarità del trattamento, vale a dire in quelle funzioni che hanno potere decisionale o comunque concorrono alla definizione delle finalità e dei mezzi del trattamento, onde evitare il rischio di conflitto di interessi derivanti dalla posizione del Dpo in azienda.
Al momento dell’ispezione, nel caso che ci interessa, il dipendente nominato Dpo interno ricopriva contemporaneamente il ruolo di responsabile dei dipartimenti di Compliance, Risk Management e Internal Audit. Secondo l’Apd ciò ha costituito una violazione piena dell’art. 38.6 Gdpr e per giungere a tale conclusione sono stati evidenziati alcuni aspetti di estrema centralità sottolineando, altresì, come il conflitto d’interessi vada valutato caso per caso, senza alcuna generalizzazione.
Analizzando l’impatto che il Dpo possa aver assunto nelle fasi decisionali, l’Autorità ha sottolineato come il conflitto d’interessi sorga nel momento in cui il soggetto disponga di un ruolo attivo nella definizione delle azioni che l’azienda dovrà intraprendere, non solo a livello generale, ma anche in ogni singolo dipartimento.
Nell’argomentare questa posizione, l’Autorità individua una linea di demarcazione tra le tipiche attività di reporting dell’Internal Audit e ciò che da queste può scaturire. Infatti, al fine di individuare potenziali conflitti di interesse, è importante comprendere se le attività svolte nell’esercizio delle funzioni di auditing si limitino solo all’analisi dei processi di business e alla stesura di un report (e quindi di tipica consulenza), oppure alla concreta realizzazione delle c.d. remediation capaci di incidere anche profondamente nelle scelte aziendali e sui dipendenti (e quindi confondendosi con le prerogative del titolare del trattamento).
Oltretutto l’Apd sgombera il campo da una generalizzazione che induce il titolare ad una fallace interpretazione del ruolo del Dpo: l’indipendenza e la funzione di consulenza di alcuni dipartimenti non può valere per puro sillogismo anche nei confronti di quella persona che, alla luce della posizione di responsabilità in questi ricoperta, può assumere le vesti di titolare del trattamento e cioè tale da definire le finalità e i mezzi del trattamento posti in essere nell’esercizio delle funzioni assegnate ai relativi comparti aziendali.
Da qui può trarsi una regola: una funzione esercitata in uno o più dipartimenti del titolare del trattamento determina la capacità del soggetto di contribuire alla definizione delle finalità e dei mezzi del trattamento e, dunque, di assumere le funzioni tipiche del titolare. Per tale ragione, emerge fortemente l’idea che un responsabile di qualsivoglia dipartimento non possa assumere contemporaneamente il ruolo di Data Protection Officer ai sensi dell’art. 38.6 Gdpr. L’Autorità belga sembra porre l’accento su questo aspetto, indicando come un ruolo interno apicale in un dipartimento implichi il venir meno della necessaria autonomia e indipendenza del Dpo nel valutare ogni trattamento posto in essere dall’azienda, compresi quelli del proprio comparto aziendale.
Se i vertici di funzione risultano in conflitto di interessi by-default, allora la scelta dovrebbe volgere a favore di posizioni intermedie, ma qui sorgerebbe un’ulteriore criticità avente ad oggetto l’autonomia ed indipendenza del Dpo e la posizione interna all’azienda, con annessa capacità di riferire direttamente ai vertici aziendali. Questo perché un Dpo, operante come semplice componente di un altro dipartimento, oltre all’assenza di imparzialità nel valutare quanto posto in essere dalla propria funzione, non potrebbe mai svolgere il proprio ruolo in serenità e nel pieno della sua autonomia ed indipendenza.
C’è da chiedersi, infatti, come potrebbe un soggetto che non sia in una posizione di forza porsi con agilità in contrasto con le direttive aziendali che possono provenire dal proprio capo-dipartimento o da un altro suo superiore gerarchico nell’organigramma aziendale. Certo, tutto è possibile sulla carta ma basta conoscere un minimo le dinamiche aziendali per sapere che ciò è tanto improbabile quanto difficile da dimostrare.
Scorrendo le argomentazioni della Dpa mi sono tornate alla memoria le decine di pareri resi e discussioni fatte con vari titolari del trattamento nei mesi precedenti alla piena vigenza del Gdpr. Ricordo anche come non senza qualche nota di sconforto o amarezza avevo calcolato che sui tanti pareri resi, raccomandando ai miei Clienti esattamente di evitare tali censurabili cumuli di funzioni e rischi di conflitti di interesse, solo 4 su 10 abbiano creato apposite funzioni di staff qualificabili come Dpo a diretto riporto del vertice dell’azienda o si sono determinati a ricorrere ad un Dpo esterno, soluzione questa che eliminerebbe, in parte, il rischio di conflitto di interessi funzionale eccepito dalla Apd. Molti altri si sono ostinati a cumulare Dpo e compliance, o Dpo e legal, o anche peggio Dpo e IT o Ciso o Hr.
In conclusione, alla luce del provvedimento dell’Autorità belga, emerge che la figura del Dpo interno sia accerchiata da una coltre di incertezza e di insormontabili criticità strutturali. Ma le aziende hanno bisogno di correre e di essere consapevoli che tutti i tasselli della loro compliance siano correttamente al loro posto.
La soluzione? Il Dpo in “ousourcing”
Come fare, dunque, per ovviare il problema?Soprattutto se non si ha la possibilità di assumere un Dpo a tempo pieno, oppure di individuare un già dipendente che rispecchi tutti i requisiti ai sensi dell’art. 37.5 Gdpr e che non sia in conflitto di interessi ai sensi dell’art. 38.6 Gdpr? La risposta c’è ed è fuori dal perimetro degli uffici aziendali: il Responsabile della Protezione dei Dati in outsourcing sembra dunque assumere una posizione predominante nella risoluzione di queste conflittualità.
Il Dpo esterno, infatti, ricoprirebbe tale funzione lontano dal rischio di conflitto di interessi interno, senza occuparsi delle attività di qualsivoglia altro dipartimento – che restano di competenza dei dipendenti – e senza alcuna posizione di subordine ad altre funzioni aziendali. Oltretutto, sarebbe più facile individuare qualcuno che abbia comprovate qualità professionali e conoscenza specialistica della materia sul mercato, potendo fare affidamento a professionisti del settore che svolgono queste funzioni da molto tempo e per diverse realtà.
Certo questa soluzione però non va bene in astratto in tutti i casi. Conosco realtà in cui Dpo interni si stanno progressivamente guadagnando autonomia, indipendenza e fiducia. E’ un percorso ad ostacoli e non sempre agevolato in azienda e fuori.
Il dibattito sul ruolo del Dpo e sul conflitto di interessi resta, dunque, al centro dell’attenzione e sembra espandersi in altri Paesi europei, ma il pregio di questa decisione del Garante belga ha, da un lato, contribuito a squarciare il velo su un argomento tanto delicato quanto prevedibile, e dall’altro ci sta aiutando a pensare nuovamente a tematiche strutturali e sistematiche della protezione dei dati, lontano da misurazioni di temperatura, tamponi o webapp ai tempi del Coivd19, di cui francamente iniziamo ad averne abbastanza.
