Nel corso del 2023 l’European Data Protection Officer (EDPB) ha avviato una raccolta di informazioni sui DPO e sul rispetto di quanto previsto dal GDPR (si veda Il DPO sotto pressure test). La ragione del tema oggetto di survey è evidente: il DPO è una delle figure chiave introdotte dal GDPR (si veda anche il nostro approfondimenti Obbligo di nomina del DPO: tutti i criteri). A distanza di 5 anni i tempi erano maturi per approfondire con i Titolari del trattamento come questo adempimento è stato implementato e identificare gli elementi critici e di miglioramento.
L’EDPB, terminata l’analisi, ha pubblicato il report contenente i risultati dell’azione coordinata di enforcement (“CEF”). Nel complesso i risultati sono incoraggianti.
Tuttavia, uno dei punti messi in luce dall’indagine sono le molteplici situazioni di DPO operanti in possibile conflitto di interessi, l’EDPB ha comunque evidenziato la necessità di intraprendere ulteriori iniziative e controlli ispettivi.
Indice
Autonomia e Indipendenza
Ma cosa vuol dire operativamente per un DPO non trovarsi in situazione di conflitto di interesse?
L’articolo 38, terzo paragrafo, del Regolamento fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del titolare/responsabile.
In particolare, il titolare/responsabile è tenuto ad assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”, garantendone quindi l’indipendenza. Non solo, la normativa prevede che il DPO “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”.
Quindi, in sintesi: il DPO non deve ricevere istruzioni su come svolgere i propri compiti, né come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo e le sue scelte non devono essere condizionate da possibili sanzioni disciplinari.
Il Titolare resta responsabile dell’osservanza della normativa in materia di protezione dei dati e se il titolare assume decisioni incompatibili con il Regolamento e le indicazioni fornite dal DPO, quest’ultimo deve avere la possibilità di manifestare il proprio dissenso.
Indipendenza e conflitto di interessi
L’indipendenza del DPO è garantita anche attraverso l’articolo 38 paragrafo 6 che esplicitamente impone l’assenza di conflitti di interessi.
In particolare, il Regolamento riconosce la possibilità per il DPO di assumere altri incarichi per il titolare/responsabile, ma questi non devono essere in conflitto di interessi con la posizione di DPO.
L’evidente ruolo di “controllore” della conformità dell’ente al GDPR, infatti, assegnato dalla legge al DPO comporta di per sé una situazione di incompatibilità della carica rispetto a determinati ruoli aziendali o a incarichi professionali tali da consentire (per posizione o per mansione/oggetto del mandato) un’interferenza del DPO sulla determinazione delle modalità, finalità ecc. del trattamento dei dati, integrando, quindi, un conflitto di interessi.
Sul punto, sia le Linee Guida WP 243 già citate sia il Position Paper del 30.9.2018 dell’EDPS hanno evidenziato che può esserci un conflitto di interessi laddove il ruolo di DPO sia svolto da manager operativi, in quanto soggetti particolarmente “attivi” nella gestione del trattamento dei dati personali. Si possono qualificare come soggetti attivi perché concorrono a determinare le finalità e le modalità del trattamento dei dati personali sia perché li trattano con regolarità.
Casi di conflitto di interessi
In questi cinque anni le Autorità sono intervenute spesso in occasione di DPO nominati in evidente conflitto di interessi. Vediamo qualche caso di conflitto di interessi accertato.
– DPO e direttore dei dipartimenti di revisione interna, gestione dei rischi e conformità. Aprile 2020 l’Autorità belga per la protezione dei dati ha sanzionato il Titolare perché il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno.
– DPO e Amministratore delegato. L’Autorità tedesca ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento.
– DPO e Direttore Amministrativo di un fornitore di servizi. Il Garante Italiano ha individuato un conflitto di interesse nel DPO che riveste anche il ruolo di Direttore Amministrativo di una società che fornisce servizi di supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati e attività di amministrazione dei sistemi informativi, nominata responsabile ai sensi dell’art. 28.
– DPO e incaricato della difesa in giudizio del Titolare. Anche il DPO esterno all’azienda può trovarsi in condizione di conflitto di interessi, è il caso esaminato dal Garante in cui il DPO era stato nominato anche legale del Titolare del trattamento in un contezioso riguardante il sistema di videosorveglianza. Secondo il Garante il DPO non poteva svolgere pienamente la sua funzione senza pregiudicare la sua posizione processuale e gli interessi del Titolare.
Il caso arrivato alla Corte di Giustizia.
Nel 2023 anche la Corte di Giustizia (CGUE) è intervenuta sul tema del Conflitto di interessi del DPO.
Il caso partiva dal licenziamento di un lavoratore a cui la società aveva affidato formalmente l’incarico di DPO. Il lavoratore licenziato ricopriva contestualmente la carica di presidente del Consiglio aziendale (organo di rappresentanza dei lavoratori previsto dall’ordinamento tedesco) e di vicepresidente di tale Consiglio in alcune società di gruppo. Tale licenziamento avveniva in ragione di una riorganizzazione societaria che, tra le varie modifiche previste, prevedeva anche l’esternalizzazione di tale incarico.
Il lavoratore impugnava allora il licenziamento, contestandone la validità alla luce del GDPR e della legislazione tedesca.
Sia i giudici di primo grado che quelli del rinvio ritenevano illegittimo il licenziamento del lavoratore sulla base della valutazione per cui il provvedimento di ristrutturazione aziendale descritto dalla società non può costituire una giusta causa di licenziamento. Il giudice, tuttavia, sollevava dubbi di compatibilità della disposizione nazionale con l’art. 38 del GDPR rinviando alla CGUE due quesiti, tra cui: se le funzioni di presidente del consiglio aziendale e di DPO di una stessa azienda possano essere esercitate da una stessa persona o se ciò comporti un conflitto di interessi ai sensi del GDPR.
La Corte non entra nel merito, ma – riprendendo i principi delle sopra citate Linee Guida – precisa che il GDPR non stabilisce alcuna incompatibilità di principio tra l’esercizio delle funzioni di DPO e altri eventuali compiti e funzioni esercitate presso il titolare o il responsabile del trattamento. Compete tuttavia al titolare o al responsabile del trattamento garantire che tali altri compiti e funzioni non facciano insorgere un “conflitto di interessi”.
In sostanza, il DPO non può essere incaricato dell’esecuzione di compiti o funzioni che compromettono l’esercizio delle funzioni proprie del DPO. Ne consegue, in particolare, che egli non può svolgere compiti o funzioni che lo inducono a determinare le finalità e i mezzi del trattamento dei dati svolti presso il titolare o il responsabile del trattamento.
La constatazione dell’esistenza di un conflitto di interessi deve essere effettuata caso per caso, sulla base di una valutazione complessiva delle circostanze rilevanti, in particolare della struttura organizzativa del titolare o del responsabile del trattamento e alla luce della normativa applicabile e delle politiche interne adottate dall’organizzazione medesima.
Non v’è quindi un elenco esaustivo di situazioni di incompatibilità, ma spetterà al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze di fatto se tale conflitto di interessi possa dirsi esistente o meno.
A seguito di questa pronuncia la Corte del lavoro Tedesca ha confermato la presenza di un conflitto di interessi nel caso del DPO e Presidente del Consiglio aziendale.
Quindi meglio un DPO interno o esterno?
A livello teorico il principio è chiaro.
Il DPO può essere interno o esterno, è il Titolare/ Responsabile che effettua la scelta. Ma in entrambi i casi sarà lo stesso Titolare/ Responsabile a doversi assicurare che in caso di affidamento di altri compiti questi non siano in conflitto di interessi con il ruolo di DPO.
Infatti, una situazione di conflitto di interessi è più facile in caso di DPO interno, dove per esigenze organizzative ed economiche non sempre è possibile dedicare una risorsa solo ed esclusivamente al ruolo di DPO.
Ma, dall’altro lato è comunque necessario valutare se il suo ruolo sia compatibile o meno con le altre mansioni svolte in qualità di dipendente. In questo caso, infatti, è opportuno che sia designato un dirigente, o comunque un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, mantenendo una collaborazione diretta con il vertice dell’organizzazione.
Al fine di stabilire se sia o meno possibile nella propria organizzazione nominare un soggetto interno all’organizzazione di riferimento occorre effettuare preliminarmente una dettagliata valutazione circa la possibilità o meno del verificarsi un conflitto di interessi.
Il Titolare del Trattamento dei Dati deve poter essere in grado di dimostrare l’assenza di conflitto di interessi, provando che il soggetto nominato DPO si trova in una condizione neutrale che si traduce in ampia autonomia e indipendenza nell’espletamento dei propri compiti (con rapporti diretti con i vertici aziendali); e nel suo inquadramento al vertice o nei pressi del vertice dell’organizzazione.
Le indicazioni delle FAQ del Garante
Nelle FAQ sul DPO, il Garante indica al punto 8 un elenco di funzioni a Suo parer incompatibili con il ruolo di DPO interno. In particolare da escludersi l’assunzione di DPO ai soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.).
Viceversa, possibile, ma da valutarsi l’assegnazione di tale incarico ai responsabili delle funzioni di staff come il responsabile della funzione legale.
Anche per il DPO esterno, il Garante avanza ipotesi di incompatibilità l’assegnazione di tale incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.).