Le indagini condotte dall’Autorità belga (APD) a seguito della notifica di un data breach da parte di una società di telecomunicazioni hanno rilevato elementi di non conformità in relazione alla posizione del DPO interno: nel corso delle verifiche è infatti emerso che il ruolo era stato affidato al direttore della funzione Compliance, Risk Management e Audit, incarico ritenuto dall’APD incompatibile con il ruolo di responsabile della protezione dei dati.
Gli argomenti a sostegno della decisione dell’APD si articolano in differenti motivazioni:
- se il soggetto designato quale DPO non determina in modo diretto finalità e modalità di trattamento dei dati (come sostenuto dalla società a propria difesa nel caso di specie), non è automaticamente assicurata la sua idoneità a ricoprire il ruolo di DPO: infatti un conflitto di interessi non sussiste solo quando il soggetto designato determini le suddette finalità e modalità, ma deve essere effettuata una verifica caso per caso;
- l’assunzione del ruolo di direttore Compliance, Risk Management e Audit, non comporta per il soggetto designato quale DPO una mera funzione di advisor, bensì implica una significativa responsabilità operativa nei processi di trattamento nell’ambito delle predette funzioni;
- la posizione di vertice di una determinata funzione aziendale appare incompatibile con la posizione di DPO, in quanto al cumulo dei predetti compiti conseguirebbe la mancanza di qualsivoglia possibile supervisione indipendente per ciascuno dei dipartimenti aziendali coinvolti.
Oltre al conflitto di interessi, pareva in un primo momento che si fosse verificato anche un insufficiente coinvolgimento del DPO nelle valutazioni concernenti la protezione dei dati all’interno dell’organizzazione.
Sembrava infatti che il coinvolgimento del DPO, per “informarlo” (e non – secondo la tabella RACI contenuta nella procedura aziendale di riferimento – “consultarlo”) dell’esito della valutazione dei rischi derivanti dal data breach fosse avvenuto solo in ultima istanza, risultando tale pratica non idonea a soddisfare il dovere di coinvolgere debitamente e tempestivamente il responsabile in tutte le questioni relative alla protezione dei dati.
La ratio sottostante al coinvolgimento del DPO nelle questioni relative alla data protection verrebbe infatti erosa se il titolare si limitasse ad una mera informazione ex post su una decisione già consolidata. Tuttavia, alla luce di ulteriori approfondimenti, l’APD ha valutato che il supporto del DPO sia stato nel caso in analisi sufficiente e quindi non si sia verificata un’inosservanza dell’art. 38.1 GDPR.
L’Autorità ha imposto, alla luce degli accertamenti effettuati, in considerazione anche di elementi quali la durata dell’infrazione (dal 25 maggio 2018, alla data dell’udienza, 14 febbraio 2020) e il numero di interessati sui quali la mancata soddisfazione del requisito di indipendenza del DPO ha un potenziale impatto (nel caso in analisi, milioni di persone), una sanzione di 50.000 euro che, seppur non elevata in valore assoluto (anche in relazione al fatturato della società), è la più alta finora inflitta dall’Autorità belga.
Indice degli argomenti
Il ruolo del DPO
Pare opportuno ricordare che, tra i compiti essenziali del DPO individuati dal Regolamento 2016/679 (GDPR), ci sono – tra gli altri – quello di informare e fornire consulenza al titolare, nonché di sorvegliare l’osservanza del Regolamento; il titolare e il responsabile del trattamento devono, infatti, assicurarsi che il DPO sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. I suoi eventuali ulteriori compiti e funzioni, nel caso sia di DPO interno sia esterno all’organizzazione, non devono dare adito ad un conflitto di interessi.
Non è individuato un particolare corso di studi, un’attestazione formale o un’iscrizione in un apposito albo per ricoprire la posizione di DPO, ma è necessario che il soggetto scelto abbia una conoscenza approfondita della normativa e delle prassi in materia di data protection, considerandosi elemento preferenziale la conoscenza dello specifico ambito operativo dell’organizzazione stessa.
Il supporto del DPO al titolare non è limitato all’ambito legale: conoscenze tecniche che gli consentano di essere in grado di valutare sistemi di gestione di dati personali, tra cui anche competenze di tipo informatico (es. misure di sicurezza), costituiscono senz’altro ulteriori caratteristiche della professionalità di un data protection officer.
È evidente come, per competenze e percorsi professionali, molti soggetti che ricoprono posizioni manageriali all’interno dell’organizzazione, come ad esempio il CISO o l’IT manager (soprattutto in considerazione dell’evoluzione di tali figure), potrebbero astrattamente essere considerati per l’attribuzione dell’incarico di DPO, ma tale considerazione si scontra inevitabilmente con il conflitto di interesse che deriverebbe dal duplice incarico.
Linee guida WP29 e conflitto d’interesse del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01), avallate dall’EDPB, e dall’art. 38.6 GDPR, sebbene al DPO sia permesso di ricoprire altre posizioni all’interno dell’organizzazione aziendale, e di soddisfare altri compiti, è di fondamentale importanza che questi non diano luogo a conflitti di interesse per il soggetto designato.
Infatti, l’assenza di conflitti di interesse è strettamente connessa al requisito di indipendenza richiesto al DPO: per questo motivo si ritiene che il responsabile della protezione dei dati non possa ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Le linee guida non indicano un elenco puntuale e chiuso di incompatibilità interne, ma ne esemplificano alcuni casi, tra le posizioni del top e middle management (es. chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane e direzione IT, ma anche altri ruoli che comportino la determinazione di finalità e modalità di trattamento).
L’European Data Protection Supervisor indica invece che, per quanto concerne istituzioni e entità europee, l’idoneità del soggetto è legata – oltre all’assenza di posizioni di controllo su attività di trattamento – anche ad elementi formali (il rapporto di lavoro, se dipendente, non deve qualificarsi come rapporto a breve termine o a tempo determinato; il DPO non deve rendere conto del proprio operato se non al top management) e valutazioni di tipo economico (è in capo al DPO stesso la gestione del budget dedicato).
Il verificarsi di un conflitto di interessi è in ogni caso strettamente legato alla struttura dell’organizzazione aziendale, dunque, le situazioni di incompatibilità dovranno essere individuate caso per caso. È però importante sottolineare come una situazione di conflitto possa verificarsi non solo per un soggetto interno all’organizzazione, ma anche per un esterno.
Best practice per assicurare l’indipendenza del DPO
Per un titolare o un responsabile che abbiano scelto di nominare un DPO o siano obbligati per legge ad averne uno è quindi essenziale affidare l’incarico a un soggetto che possa garantire, oltre ai requisiti di professionalità ed esperienza necessari a ricoprire questo ruolo, anche l’assenza di conflitti di interesse.
Le best practice del WP29 suggeriscono alle organizzazioni di identificare le posizioni ritenute incompatibili con la funzione di responsabile della protezione dei dati e consolidarle in regole interne aziendali.
Altre indicazioni riguardano l’opportunità di dichiarare l’assenza di conflitto di interessi del proprio DPO e di indicare informazioni dettagliate negli eventuali annunci di ricerca per tale posizione, per evitare il verificarsi di un conflitto inaspettato. Le stesse considerazioni sono naturalmente da ritenersi valide qualora il DPO non sia una persona fisica interna alla società ma un professionista o un’organizzazione esterni: in quest’ultimo caso è essenziale che nessuno dei soggetti facenti parte del team DPO si trovi in una situazione di conflitto di interessi.
È per questo opportuno che, nei contratti di servizi, sia indicata una chiara ripartizione dei compiti attribuiti al team DPO esterno.
Infine, in un’ottica di accountability, è preferibile documentare sempre per iscritto le proprie decisioni rilevanti in materia di protezione dei dati, motivando la scelta del soggetto individuato e indicando le ragioni che hanno portato alla nomina: la sola ponderazione sul tema non è di per sé sufficiente a provare che il titolare o responsabile abbiano effettivamente agito in maniera compliant al Regolamento.
