Estratto SIG – Il conflitto d’interessi del DPO interno

Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito alla finalità e ai mezzi di un trattamento su cui deve vigilare.

La decisione con connessa sanzione pecuniaria amministrativa dell’autorità di supervisione belga in tema di conflitto d’interessi del DPO interno all’azienda ha fatto rumore, in quanto ha rilevato un conflitto d’interessi nella circostanza di un DPO che è anche capo della funzione compliance, rischi e audit. 

Sintesi

Molte aziende hanno optato per un DPO che fa parte dell’organico aziendale. 

Il GDPR ammette che l’incarico di DPO non sia esclusivo [art. 38(6)] purchè ci si assicuri che «tali compiti e funzioni non diano adito a un conflitto di interessi».

La scelta del ruolo di DPO spesso è caduta su figure apicali delle funzioni legale, compliance o audit, che non hanno un rapporto diretto col business, per cui si considerano maggiormente al riparo da ipotesi di conflitto. 

Le linee guida sul DPO dell’EDPB avevano lasciato intravedere una possibilità in questa direzione ma l’autorità belga evidenzia come il DPO capo di una funzione aziendale sia inevitabilmente in conflitto riguardo a quei trattamenti di dati personali di propria pertinenza. In quanto il conflitto d’interessi sussiste per il DPO allorquando egli decida o contribuisca a decidere in merito a finalità e mezzi di un trattamento su cui dovrebbe vigilare: perchè il vigilante non può vigilare sé stesso.