Stante l’assenza di pronunce giurisprudenziali e l’assordante silenzio dell’Autorità Garante, merita un maggior approfondimento la relazione che intercorre tra la figura del DPO e quella dell’organismo di vigilanza, anche alla luce del requisito di indipendenza e alla necessità che il Responsabile per la protezione dei dati operi in assenza di conflitti di interessi (art. 38 GDPR).
Trascorso un anno e mezzo da quando il Regolamento Europeo per la protezione dei dati è divenuto attuativo, appare superfluo soffermarsi nuovamente sulla figura del Data Protection Officer, figura dotata di ampie competenze e conoscenze professionali in ambito protezione dei dati (art. 37 GDPR) il cui scopo è quello d’informare e fornire consulenza; di vigilare sull’osservanza del regolamento europeo e delle altre disposizioni relative alla protezione dei dati; di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).
Va ricordato, invece, che l’organismo di vigilanza è preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) e, come per il DPO, deve “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (Sezioni Unite Penali, con sentenza n.38343 del 18 settembre 2014).
Per conflitto di interessi si intende quella condizione giuridica nella quale un soggetto, investito di poteri decisionali, possiede un interesse personale/professionale in contrasto con la carica per la quale gli sono stati attribuiti tali poteri.
Indice degli argomenti
DPO e organismo di vigilanza: il quadro normativo
Terminata tale premessa, in assenza di uno specifico divieto normativo e alla luce della possibilità per il DPO di svolgere altri compiti e funzioni, appare spontaneo chiedersi se il medesimo possa ricoprire anche l’incarico di organismo di vigilanza per la stessa realtà, in presenza delle qualità professionali e della conoscenza specialistica richieste.
In assenza di una normativa specifica l’assioma “tutto ciò che non è espressamente vietato è permesso”, a mio parere, non può essere applicato al caso di specie in quanto, attribuire ad una figura unica il ruolo di Responsabile per la protezione dei dati e di ODV andrebbe in contrasto con le linee guida pubblicate dal Working Party 29 e alla disposizioni indicative enunciate dalla stessa Autorità Garante italiana.
Inoltre, non si può non sottolineare che le caratteristiche specifiche delle due figure sottoposte all’odierna analisi determinerebbero moltissime situazioni di conflitto, nel caso in cui il duplice ruolo fosse affidato ad un unico soggetto in quanto l’unione di dette figure porterebbe alla sovrapposizione, in molti casi, della figura di controllore e controllato.
Tra le due figure citate non può esistere un’unione, essendo innegabile che il DPO ha, altresì, il compito di monitorare e verificare il trattamento dei dati posto in essere dall’ODV. Infatti, il DPO potrebbe trovarsi nella posizione di contestare o segnalare determinati trattamenti ovvero di verificare le misure di sicurezza adottate per il corretto trattamento.
Come se non bastasse, i due organi potrebbero confliggere in merito alla misure di sicurezza che il titolare del trattamento dovrebbe adottare al fine di evitare la commissione dei reati presupposto in ambito informatico.
Pertanto, appare evidente che le due figure non sono sovrapponibili ma che debbano cooperare al fine di garantire la giusta attenzione a criticità e violazioni eventualmente rilevate nei diversi ambiti aziendali.
A sostegno dell’incompatibilità tra queste due figure vi è poi l’attribuzione all’ODV della nomina di responsabile esterno del trattamento.
Appare, ad oggi, consolidato l’assunto alla luce del quale l’Organismo di Vigilanza, in ambito privacy, ricopra il ruolo di responsabile esterno, nonostante una dottrina minoritaria lo qualifichi ancora come titolare autonomo in ragione dei requisiti d’indipendenza e di autonomia.
Tuttavia, grazie ad un’interpretazione estensiva del provvedimento del 19 luglio 2018 emesso da Garante della Privacy (“il sistema delle responsabilità in tema di salute e sicurezza dei lavoratori ivi delineato ha rilevanza ai soli fini degli adempimenti in materia di salute e sicurezza dei dipendenti, restando salva la titolarità dei relativi trattamenti e l’imputazione delle eventuali conseguenti responsabilità in capo all’amministrazione interessata”) appare indiscutibile che l’ODV debba essere inquadrato come responsabile del trattamento ex art. 28 GDPR.
Conclusioni
Stante detta qualificazione, quindi, e in ragione del potere del Data Protection Officer di verificare l’adeguatezza delle politiche in materia di protezione dei dati personali poste in essere dal responsabile del trattamento, appare ancora più marcata la necessità di configurare queste due autorità di controllo in due soggetti distinti.
Se ciò non bastasse, non si può non sottolineare che, nonostante moltissimi esperti in materia propendano per una valutazione d’incompatibilità fondata su un’analisi caso per caso, il Garante italiano e quelli europei continuano a suggerire di porre in essere un atteggiamento cauto diretto ad evitare ab origine qualsiasi possibile eccezione di conflittualità.
