La tua azienda ha l’obbligo di nomina del Responsabile della Protezione dei Dati Personali (RPD o DPO)? Non sei sicuro/a che tale obbligo coinvolga anche la tua organizzazione?

Prima di leggere questo articolo, ti invitiamo a leggere un precedente pezzo sull’argomento al seguente link: GDPR: quali organizzazioni devono nominare un DPO?

Identificato l’eventuale obbligo di nomina, sorge un’altra domanda. Dal momento che il DPO si un’organizzazione deve rispondere ai requisiti di indipendenza, come possiamo assicurarci di non incorrere nel rischio di nominare un DPO in conflitto di interessi con il suo ruolo?

Innnanzitutto, vi sono numerose garanzie che possono consentire al DPO di operare in modo indipendente:

  • nessuna istruzione da parte del titolare del trattamento o del responsabile del trattamento per quanto riguarda lo svolgimento dei compiti affidati al RPD;
  • nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
  • nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.

LE LINEE GUIDA PER LA NOMINA INTERNA

Analizzando le linee guida adottate dal gruppo di Lavoro 29 per la protezione dei dati o WP29, (WP 243 rev.01), approvate dal comitato europeo per la protezione dei dati, (EDPB), e dall’art. 38.6 GDPR, nonostante al Data Protection Officer sia permesso di ricoprire altre posizioni all’interno dell’azienda o amministrazione pubblica, e di eseguire ulteriori compiti, è quanto mai importante che non vengano a crearsi dei conflitti di interesse nei confronti del soggetto designato.

Le linee guida prima citate non indicano un elenco tassativo di incompatibilità, ma ne presentano alcuni casi, tra le posizioni di alta e media amministrazione, (es. chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane e direzione IT).

Secondo il Garante per la Protezione dei Dati Personali, “potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi.”

LE LINEE GUIDA PER LA NOMINA ESTERNA

Nel caso in cui si decidesse di nominare quale DPO una figura esterna all’organizzazione (può essere sia una persona fisica che giuridica) risulta incompatibile con i requisiti di indipendenza previsti dall’art. 38 del GDPR, l’assegnazione dell’incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.).

LE BUONE PRASSI

Secondo l’EDPB, quelle riportate di seguito sono le buone prassi per evitare conflitti di interesse nella nomina di un DPO:

  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il DPO non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di DPO, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale DPO ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il DPO sia designato fra soggetti interni o esterni all’organizzazione.

Non sai se il potenziale DPO della tua azienda presenta dei potenziali conflitti d’interesse? Affidati ad Argo. Inviaci una mail a info@argobs.com e spiegaci le tue esigenze.