Recentemente il Garante Belga è intervenuto in una questione sempre di grandi dubbi interpretativi: quando il DPO si trova in una situazione di conflitto di interessi?
Nello specifico caso esaminato dal Garante si trattava di un’azienda che ha nominato come DPO interno il “capo dei dipartimenti di Compliance, Risk management e Audit”.
La scelta dell’uomo sbagliato ha comportato al titolare una sanzione di 55.000€, ma consente quale riflessione per evitare ad altri titolare la stessa sorte, considerando che spesso la scelta di un DPO interno è stata la scelta più diffusa dall’entrata in vigore del GDPR, perché apparentemente più economicamente vantaggiosa.
L’art. 38.6 Gdpr, norma disattesa dall’azienda belga, prevede che: “il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”
Nel caso esaminato dal Garante belga abbiamo un DPO che svolge altri compiti e funzioni ovvero “capo dei dipartimenti di Compliance, Risk management e Audit”.
Su questa situazione consentita dal GDPR, il Garante belga ha svolto un’analisi per verificare se nel caso concreto le attività di reporting dell’Internal Audit configurino o meno un conflitto di interessi alla carica di DPO. Per individuare potenziali conflitti di interesse, quindi, va accertato se in concreto le attività svolte comportano situazioni di conflitto: nello specifico, per il Garante va valutato se nell’esercizio delle funzioni di auditing si limitino solo all’analisi dei processi di business e alla stesura di un report (e quindi di tipica consulenza), oppure alla concreta realizzazione delle c.d. remediation capaci di incidere anche profondamente nelle scelte aziendali e sui dipendenti (e quindi confondendosi con le prerogative del titolare del trattamento). Perché nell’attività di remediation il DPO potrebbe assumere posizione di evidente conflitto dovendo prendere decisioni organizzative. Come intuibile nel caso specifico si riversava nel conflitto di interessi.
Ma possono farsi ulteriori considerazioni di caratteper più generale.
Per esempio, la funzione condannata era una funzione che potremmo definire come “apicale” all’interno dell’organizzazione. Facilmente, seppur con le dovute diversificazione caso per caso, la funzione “apicale” o responsabile di un dipartimento del titolare implica il venir meno della necessaria autonomia e indipendenza del Dpo (prevista dall’articolo 38) nel valutare ogni trattamento posto in essere dall’azienda, compresi quelli del proprio comparto aziendale che gerarchicamente dirige. Questo per il fatto che un funzionario apicale facilmente contribuirà a definire i mezzi e le finalità di trattamenti del titolare o quanto meno dell’area che dirige o governa.
In altri termini, l’evidente ruolo di “controllore” della conformità dell’ente al GDPR assegnato dalla legge al DPO comporta di per sé una situazione di incompatibilità della carica rispetto a ruoli e funzioni aziendali o a incarichi professionali tali da consentire (per posizione o per mansione/oggetto del mandato) un’interferenza del DPO sulla determinazione delle modalità, finalità ecc. del trattamento dei dati, integrando un conflitto di interessi (sul punto si veda anche Linee Guida WP 243 che il Position Paper del 30.9.2018 dell’EDPS).
Naturalmente, la verifica dell’assenza di situazione di conflitto di interessi va accertata anche in caso di DPO esterno, anche se, a parere di chi scrive, l’outsourcing meglio garantisce l’indipendenza.
Cosa deve fare un‘azienda, anche alla luce delle indicazioni del Garante Belga:
– verificare gli eventuali ulteriori incarichi che ricopre il DPO;
– qualora il DPO ricopra altri incarichi accertarsi di quale altra funzione ricopre e delle mansioni assegnate, oltre alle funzione da DPO;
– il DPO svolge funzioni apicali o direzionali, facilmente si può configurare un conflitto di interessi;
– qualora il DPO non svolga funzioni apicali verificare IN OGNI CASO se la funzione rivestita porta lo stesso a prendere decisioni in sostituzione del titolare su mezzi e finalità del trattamento.