DPO in conflitto di interesse: arrivano le sanzioni


Hits: 15

Torniamo sull’argomento del DPO in conflitto di interesse poichè sono numerose le richieste di verifica e di chiarimento che arrivano a Università del Lavoro sulla corretta designazione del DPO.

Abbiamo già trattato l’argomento nell’ articolo Scelta del DPO: i tre maggiori errori, ma in questi giorni la sanzione di una Autorità garante di 50.000 euro per DPO in conflitto di interesse sembra aver risvegliato l’attenzione sul tema di quanti non avevano ritenuto utile verificare l’assenza del conflitto di interesse.

In questo articolo cerchiamo di capire perché l’Autorità garante ha comminato la sanzione di 50.000 euro e l’impatto sullo scenario italiano.

Temi trattati nell’articolo:

  • DPO in conflitto di interesse: il caso
  • Le ripercussioni sullo scenario italiano
  • Come verificare la corretta designazione del DPO

DPO in conflitto di interesse: il caso

Il caso che esaminiamo riguarda la sanzione comminata dall’Autorità garante belga, ma ha un diretto impatto sullo scenario italiano. Per chi fosse interessato alla versione integrale della decisione può scaricare il documento originale.

A seguito di una verifica dell’Autorità garante per motivi diversi, la stessa ha ritenuto necessario verificare il ruolo svolto dal DPO e la corretta designazione effettuata dall’azienda oggetto della verifica.

Con modalità coerenti a quanto prescritto dalla norma,  l’azienda aveva designato come DPO il responsabile interno della compliance, internal audit e risk management.

Va detto che in molte realtà italiane la scelta del DPO interno ricade proprio su questa figura interna in quanto ritenuta la figura adeguata a ricoprire anche il ruolo di DPO.

Va anche detto che il GDPR prevede espressamene (art. 37.6) che il DPO possa “essere un dipendente del titolare o del responsabile del trattamento” o una figura esterna che assolva tali compiti secondo un contratto di servizi (figura esterna).

Nel caso di specie l’azienda ha optato per il dipendente del titolare, designando il responsabile della compliance.

Inoltre, il successivo l’articolo 38.6 specifica che il DPO possa “svolgere altri compiti e funzioni”, esattamente come accade per la figura scelta nel caso esaminato.

Ma allora, perché la sanzione di 50.000 euro?

La risposta  è proprio nello stesso articolo 38.6. infatti, nella seconda parte recita: “il titolare del trattamento […] si assicura che tali compiti e funzioni non diano adito a un conflitto di interesse.

Cioè, è possibile designare DPO una figura interna che svolga altri compiti e funzioni, purché tali compiti e funzioni non siano in conflitto di interesse con il ruolo di DPO.

Nel caso di specie, il responsabile della compliance interna svolge attività di trattamento proprio legate al suo ruolo.

Di contro, come DPO deve svolgere un ruolo di vigilanza sui trattamenti messi in atto dal titolare.

In sintesi, da un parte svolge dei trattamenti, mentre dall’altra vigila anche su tali trattamenti: il caso classico del controllore che controlla se stesso.

A questa prima banale constatazione se ne aggiungono altre, tra cui la garanzia di riservatezza di cui all’art. 38.5: tale garanzia deve essere oggettiva e percepita come tale dagli interessati che dovessero rivolgersi al DPO per far valere i propri diritti e libertà fondamentali. È facile comprendere i timori degli interessati quando sono dipendenti o collaboratori dell’azienda.

Per questi motivi l’Autorità garante ha deciso di comminare la sanzione di € 50.000 oltre alla prescrizione di conformarsi alle disposizioni del GDPR designando un DPO non in conflitto di interesse.

Le ripercussioni sullo scenario italiano

Ma quali possono esser le ripercussioni nello scenario italiano?

In effetti l’Autorità garante di cui trattiamo è quella belga, sufficientemente lontana dall’Italia.

Anche in questo caso va detto che in Italia, secondo la nostra esperienza, i casi di DPO in conflitto di interesse interni (per gli esterni c’è una diversa graduatoria) sono prevalentemente:

  • Responsabili della compliance, risk management, internal audit;
  • Responsabili ICT, amministratori di sistema, sicurezza;
  • Responsabili ufficio legale, affari amministrativi, servizio clienti;
  • Figure apicali di vario genere, da responsabili di dipartimento a direttori generali.

La graduatoria appena enunciata rappresenta circa il 90% delle casistiche incontrate nelle nostre valutazioni e, nell’ordine di presentazione, vede al primo posto proprio i responsabili della compliance/internal audit.

Considerato che il GDPR ha una valenza europea e che le varie Autorità garanti dei singoli stati membri hanno il dovere di conformarsi nelle azioni al fine di non far nascere divergenze di comportamento tra uno stato e l’altro, c’è da attendersi una uniformità di comportamento anche del Garante italiano sulla valutazione della corretta designazione del DPO in conflitto di interesse.

Va considerato anche che la designazione del DPO può essere verificata in qualsiasi momento, anche a posteriori, in quanto lascia una traccia indelebile, non ultima la comunicazione all’Autorità garante.

Ovviamente, come già accaduto per altri temi, c’è da aspettarsi che le prime sanzioni siano “mitigate”, in quanto la finalità dell’Autorità è certamente rivolta prevalentemente verso una crescita culturale a favore della salvaguardia dei diritti, piuttosto che verso la sterile repressione. E la sanzione applicata dall’Autorità garante belga va proprio in questa direzione.

Infatti, la non corretta designazione del DPO (o l’omessa designazione) rientra tra le sanzioni fino a 10 milioni di euro o, come nel caso dell’azienda in questione, fino al 2% del fatturato mondiale annuo.

Tuttavia, l’Autorità garante ha optato per una sanzione che sembra essere considerata minima di 50.000 euro proprio per richiamare l’attenzione di quanti, trovandovi in situazioni analoghe, devono provvedere nel conformarsi alla norma.

Come verificare la corretta designazione del DPO

Allora la domanda che viene spontanea è come poter verificare se, nel mio caso, la designazione del DPO risponde ai criteri del GDPR?

In primo luogo  questa domanda deve essere posta da tutti i titolari e responsabili del trattamento, indipendentemente dalla scelta del DPO interno o esterno, poiché rappresenta un preciso onere nel rispetto dell’accountability.

A tale proposito Università del Lavoro ha reso disponibile un servizio di audit specifico su tale punto, in modo da dare al titolare un parere di correttezza rispetto a diversi aspetti sulla compliance al GDPR, ovviamente uno specifico aspetto è proprio dedicato alla corretta designazione del DPO.

Per quanti fossero interessati possono chiedere informazioni tramite la mail presidenza@unilavoro.org.

Concludiamo ricordando che il DPO ha il compito, tra gli altri, di garantire il rispetto dei diritti degli interessati, anche in contraddittorio con il titolare del trattamento e, pertanto, la sua terzietà è l’elemento chiave rispetto alla serietà e robustezza dell’intero impianto privacy.

Lascia un commento