Nomina DPO, usuale il conflitto di interesse

Nomina del DPO, è ormai usuale la regola di riconoscimento che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” (DPO) è chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida  243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà nella identificazione e nomina non riuscendo a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, o addirittura in alcuni casi a soci e/o componenti del direttivo, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta della nomina di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea il presidente di federprivacy.

Il soggetto individuato e investito della nomina come DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo. Fonte: Osservatorio Privacy Avv. Cristiano Cominotto 

Digitech Center

Facciamo chiarezza, le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge, affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento (sebbene anche questi ultimi siano suoi superiori), e nonostante le garanzie di autonomia e indipendenza sancite dalla legge, bisogna chiedersi effettivamente quanti dipendenti sarebbero pronti a denunciare comportamenti o valutazioni errate del titolare e del responsabile del trattamento al top manager.

Per cui facciamo attenzione e non stupiamoci se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi requisiti essenziali.