Prendendo spunto da un rilievo dell’autorità belga APD circa il ruolo del DPO ritenuto incompatibile con il fatto che era stato assegnato al direttore Compliance dell’Azienda oggetto di accertamento.
Il ruolo di direttore Compliance implica una responsabilità operativa nei processi di trattamento delle informazioni nell’ambito delle funzioni proprie svolte; inoltre, la posizione di vertice di una determinata funzione aziendale appare incompatibile con la posizione di DPO, oltre ai predetti compiti conseguirebbe la mancanza di qualsivoglia possibile supervisione indipendente per ciascuno dei dipartimenti aziendali coinvolti.
Questi aspetti combinati hanno portato APD ad un verdetto di incompatibilità per conflitto di interessi, oltre a rilevare una scarsa partecipazione attiva nelle valutazioni della Data Protection.
I fatti su esposti unitamente all’ampiezza del fenomeno in termini di durata del Data Breach (quasi due anni) ha portato a comminare una sanzione di € 50.000,00.
Cosa devono fare le aziende per evitare sanzioni?
Le aziende devono individuare un DPO con le corrette competenze relative alla propria realtà e, come detto nell’intervento precedente, con skill multidisciplinari. Allo stesso tempo, nel caso decida di incaricare un soggetto interno all’azienda dovrà porre particolare attenzione all’aspetto del conflitto di interessi.
Per andare incontro alle richieste dell’art. 38.6 del GDPR si prendono in esame le linee guida del WP29 (adesso EDPB), in particolare le WP243 rev1 che riportano in maniera chiara l’esigenza di indipendenza per cui si ritiene che il responsabile della protezione dei dati non possa ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Nella linea guida non esiste una definizione specifica per indicare il soggetto giusto per ricoprire il ruolo di DPO ma una serie di indicazioni che potranno essere applicate da ogni realtà aziendale.
Si evidenzia la parte relativa ad un esempio pratico di incompatibilità:
Perché, nelle linee guida, non sono definiti in maniera chiara i ruoli non compatibili?
Perché il conflitto di interessi è strettamente legato alla struttura dell’organizzazione aziendale, dunque, le situazioni di incompatibilità dovranno essere individuate caso per caso. È importante sottolineare come una situazione di conflitto possa verificarsi non solo per un soggetto interno all’organizzazione, ma anche per un esterno, pertanto è opportuno che, nei contratti, sia indicata una chiara ripartizione dei compiti attribuiti al DPO esterno, sia questo un team o singolo.
Accountability e regole chiare
Le linee guida WP243 suggeriscono alle organizzazioni di identificare le posizioni ritenute incompatibili con la funzione di responsabile della protezione dei dati e consolidarle in regole interne aziendali.
Una sicura necessità che ogni azienda deve porre in essere è quella di scrivere sempre il motivo per cui adotta una scelta. Infatti, nella fattispecie, è preferibile documentare per scritto le proprie decisioni motivando la scelta del soggetto individuato e indicando le ragioni che hanno portato alla nomina: la sola ponderazione sul tema non è di per sé sufficiente a provare che il titolare o responsabile abbiano effettivamente agito in maniera conformità al GDPR.
Dubbi o approfondimenti, scrivimi a info@cartesiostudio.com
Comments