Ma quando vi è conflitto d’interesse tra affidatario del Servizio DPO e di altro Servizio affidato allo stesso dall’Ente? C’è un solo ragionamento da fare..

Ma quando vi è conflitto d’interesse tra affidatario del Servizio DPO e di altro Servizio affidato allo stesso dall’Ente? C’è un solo ragionamento da fare..

Di in ANTICORRUZIONE, PRIVACY
5
(2)

Proviamo a spiegarlo di nuovo. In poche parole. Con alcune semplici argomentazioni. In fondo i Dpo lo sanno già. E da tempo.

Può un Dpo esterno svolgere presso un Ente altre prestazioni con differenti contratti di servizio?

La risposta è  certamente si.

L’opinione è ormai sedimentata. Il presupposto è che nel gestire altri rapporti con l’Ente, nel quale svolge il ruolo di DPO/RPD,  i servizi ulteriori affidati non comportino la definizione delle finalità o modalità dei trattamenti di dati personali.

Potrà trattare dati ma non incidere su finalità e modalità di trattamento degli stessi.

Facciamo un esempio. Un Ente affida il Servizio di DPO ad una persona giuridica (la quale individuerà poi il suo referente personale, dipendente o collaboratore con stretto vincolo); la stessa persona giuridica risulta fornitrice per lo stesso Ente di un altro servizio, rispetto al quale non concorre a determinare le finalità del trattamento, ne le modalità con cui lo stesso viene eseguito, benché veda ( o tratti ) anche dei dati personali.  Ad esempio deve svolgere anche un’analisi organizzativa, deve anche prestare assistenza per la costituzione di un fondo per la la distribuzione delle risorse decentrate , deve tenere anche un corso di formazione. Deve assistere l’ente alla gestione del ciclo della programmazione.

Vi è conflitto? No, in linea generale.

Facciamone un altro. Un Ente affida il Servizio di DPO ad una persona giuridica (la quale individuerà poi il suo referente personale, dipendente o collaboratore con stretto vincolo); la stessa persona giuridica risulta fornitrice per lo stesso Ente di un altro servizio, ad esempio Amministratore di sistema, Fornitura e Gestione di un applicativo che gestisce gli atti dell’Ente, o che li raccoglie – il protocollo, ad esempio- o cui è affidato l’accertamento e/o la riscossione dei tributi o di entrate di servizi a domanda individuale, o ancora il sistema bibliotecario.

Vi è conflitto? Decisamente si. Tanto che lo nomina Responsabile del Trattamento dei dati.

Perché in quel caso concorre a stabilire le finalità e le modalità del trattamento dei dati personali.

Ai sensi dell’articolo 38, paragrafo 6, del GDPR, al DPO è  dunque consentito di “svolgere altri compiti e funzioni”, ma esclusivamente a condizione che il titolare del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Tale disposizione deriva dall’obbligo imposto al DPO di operare con un grado sufficiente di autonomia e indipendenza, come previsto dall’articolo 38 e dal considerando 97, il quale prevede che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Ricordiamo che, secondo le Linee guida di riferimento (Linee guida sui responsabili della protezione dei dati e sentenza della CGUE nel caso C-453/21, X-Fab Dresden GmbH & Co. KG.) , il DPO risulta, per definizione, in conflitto di interessi quando riveste, all’interno dell’organizzazione titolare del trattamento, ruoli che comportino la definizione di finalità o modalità del trattamento di dati personali.

Si tratta di situazioni da valutare caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento.

Alcune recenti sanzioni ci aiutano in tale valutazione:

  • DPO direttore di un HotelL’Autorità Garante della Croazia (AZOP) ha rilevato un caso di conflitto di interessi in quanto il direttore di un hotel rivestiva anche il ruolo di DPO ed era responsabile sia dell’adozione di decisioni di gestione sul trattamento dei dati sia di garantire la conformità di tali attività di trattamento. L’AZOP ha sanzionato per un importo pari a 15.000 euro.
  • DPO responsabile della conformità, della gestione del rischio e dell’audit interno. Il Garante del Belgio (APD) ha rilevato un conflitto di interessi in considerazione del fatto che il DPO era anche responsabile della compliance, della gestione del rischio e dell’audit interno. L’APD ha sanzionato per importo pari a 50.000 euro. In un ente pubblico non sarebbe possibile fare il DPO e l’RPCT.
  • DPO responsabile della conformità e dell’antiriciclaggio di denaro. Anche secondo il CNPD (Autorità garante del Lussemburgo), si trova in conflitto di interessi il DPO coinvolto nella determinazione e nell’attuazione del trattamento dei dati personali nell’ambito delle funzioni di responsabile della conformità (compliance manager).
  • DPO presidente del Consiglio aziendale. La Corte del Lavoro tedesca ha confermato la presenza di un conflitto di interessi qualora il DPO si trovi ad operare, all’interno dell’organizzazione, anche in qualità di presidente del Consiglio aziendale.
  • DPO amministratore delegato. L’Autorità tedesca (BInBDI) ha rilevato un conflitto di interessi nel caso di un DPO operante come amministratore delegato di due società di servizi che trattavano i dati per conto del titolare del trattamento e sanzionato per un importo pari a 525.000 euro.

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 5 / 5. Conteggio dei voti: 2

No votes so far! Be the first to rate this post.

GIANNI SANNA

Consulente Dasein. Formatore. Esperto in Programmazione, Anticorruzione , Trasparenza e Privacy. Responsabile Protezione Dati (RPD/DPO).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Proudly powered by WordPress | Theme: Content by SpiceThemes

WP2Social Auto Publish Powered By : XYZScripts.com