Privacy Officer: indipendenza e conflitto d’interessi

Continuiamo la nostra analisi delle Linee Guida sul DPO affrontando due requisiti fondamentali: l’indipendenza e l’assenza di conflitto d’interessi.

Indipendenza

L’articolo 38 del Regolamento fissa alcune garanzie essenziali per consentire ai Responsabili della Protezione dei Dati di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del Titolare. In primo luogo, è necessario assicurare che il RPD “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Infine il considerando 97 aggiunge che i Privacy Officer “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Ciò significa che il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39 non deve ricevere istruzioni:

  1. sull’approccio da seguire nel caso specifico (ad esempio quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo, ecc);
  2. sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.

Si noti, però, che il Titolare mantiene la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrare tale osservanza: nel caso in cui assuma decisioni incompatibili con il Regolamento e le indicazioni fornite dal DPO, quest’ultimo deve avere la possibilità di manifestare e formalizzare il proprio dissenso.

Conflitto d’interessi

In base al sesto comma dell’art. 38, al Privacy Officer è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il Titolare si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

L’assenza di una situazione di conflitti di interessi è strettamente connessa agli obblighi di indipendenza sopra esposti. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un Privacy Officer non può rivestire, all’interno dell’organizzazione del Titolare, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

Questa indicazione delle Linee Guida finisce con il limitare molto la libertà di scelta del Titolare: se pochi dubbi sorgono in merito all’indicazione di evitare la nomina a DPO di un soggetto che possa definire le finalità di un trattamento (scelta che, di fatto, compete tipicamente al Titolare), qualche perplessità in più riguarda la seconda preclusione. Definire le modalità di un trattamento equivale, di norma, a indicare gli strumenti da utilizzare, scelta che in molte realtà prevede un livello di discrezionalità molto basso.

Per esemplificare, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento.

Per aiutare il Titolare, le Linee Guida individuano le seguenti buone prassi:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi.

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento