Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito alla finalità e ai mezzi di un trattamento su cui deve vigilare.

La decisione con connessa sanzione pecuniaria amministrativa dell’autorità di supervisione belga in tema di conflitto d’interessi del DPO interno all’azienda ha fatto rumore, in quanto ha rilevato un conflitto d’interessi nella circostanza di un DPO che è anche capo della funzione compliance, rischi e audit.

Sintesi

Molte aziende hanno optato per un DPO che fa parte dell’organico aziendale.

Il GDPR ammette che l’incarico di DPO non sia esclusivo [art. 38(6)] purchè ci si assicuri che «tali compiti e funzioni non diano adito a un conflitto di interessi».

La scelta del ruolo di DPO spesso è caduta su figure apicali delle funzioni legale, compliance o audit, che non hanno un rapporto diretto col business, per cui si considerano maggiormente al riparo da ipotesi di conflitto.

Le linee guida sul DPO dell’EDPB avevano lasciato intravedere una possibilità in questa direzione ma l’autorità belga evidenzia come il DPO capo di una funzione aziendale sia inevitabilmente in conflitto riguardo a quei trattamenti di dati personali di propria pertinenza. In quanto il conflitto d’interessi sussiste per il DPO allorquando egli decida o contribuisca a decidere in merito a finalità e mezzi di un trattamento su cui dovrebbe vigilare: perchè il vigilante non può vigilare sé stesso.

Indipendenza

Il concetto di indipendenza che è connaturato con il ruolo del DPO va interpretato in senso ampio: il DPO deve operare con un sufficiente livello di autonomia all’interno dell’organizzazione del titolare o del responsabile del trattamento, i quali devono assicurare che il DPO «non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti». Quindi, dipendente o meno del titolare, il DPO deve poter svolgere il proprio mandato senza ricevere direttive da alcuno, potendovi adempiere in modo indipendente [v. Considerando (97)]. In pratica, il DPO non deve essere condizionato riguardo all’interpretazione da dare alla norma, ai risultati attesi, se e come condurre accertamenti su un reclamo, se consultare l’autorità di controllo. “Indipendenza” significa anche che le indicazioni del DPO potrebbero non coincidere con le decisioni del titolare o del responsabile del trattamento e il DPO deve poter «manifestare il proprio dissenso al più alto livello del management» in modo che quest’ultimo (ad es. il CdA) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle sue funzioni. In questo senso si colloca anche la relazione annuale dell’attività svolta, che il DPO sottopone al vertice gerarchico.

Conflitto d’interessi

Il concetto di indipendenza include lo stesso DPO il quale non deve trovarsi in conflitto con sé stesso, come nel caso in cui oggetto della vigilanza sia la medesima attività operativa svolta dal dipendente-DPO.

Di conseguenza, eventuali ulteriori incarichi affidati alla stessa persona del DPO devono essere tali da non porre quest’ultimo in conflitto d’interessi rispetto alla propria missione legale; la valutazione va fatta caso per caso e dipende dall’effettiva struttura organizzativa dell’impresa di riferimento.

A titolo esemplificativo, le linee guida wp243 rev.01 ritengono che possano «sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento».

Analoga situazione di conflitto sussiste nel caso in cui il DPO sia esterno e gli si chieda di rappresentare gli interessi del titolare in problematiche di protezione dei dati.

Nell’evidenziare buone prassi al riguardo, le linee guida suggeriscono di «redigere regole interne onde evitare conflitti di interessi» e «prevedere un’illustrazione più articolata dei casi di conflitto di interessi».