L’autorità belga sulla protezione dei dati, APD – Autorité de la Protection des Donneés, ha sanzionato a fine aprile per 50.000 euro un’azienda per violazione delle norme del GDPR in riferimento al conflitto di interessi del DPO. L’accaduto offre l’occasione per approfondire la normativa relativa a questo particolare aspetto.
Indice degli argomenti
Conflitto di interessi del DPO: il caso
L’investigazione, aperta in seguito a un data breach che aveva colpito l’azienda, ha infatti portato l’APD a ritenere che il DPO dell’azienda coinvolta non godeva dell’indipendenza necessaria per l’esercizio delle sue funzioni, e che la sua autonomia era compromessa dagli ulteriori compiti a questi assegnati in seno all’ente. Sebbene la sanzione pecuniaria comminata dall’Autorità non sia di importo particolarmente elevato, la decisione potrebbe portare alcuni enti a riconsiderare le scelte fatte in merito alla nomina del DPO, in particolare in relazione al sorgere di possibili conflitti di interessi che ne ledano l’indipendenza.
A tal proposito, appare utile ricordare in via preliminare che gli articoli 37, 38 e 39 GDPR disciplinano dettagliatamente i casi e le modalità di nomina del DPO, nonché funzioni e status di quest’ultimo. Ai nostri fini, preme qui sottolineare che il Regolamento prevede la possibilità per gli enti di nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi.
Inoltre, l’articolo 38 del GDPR, se da una parte riconosce la possibilità che il DPO svolga altri compiti all’interno dell’ente, dall’altra è alquanto severo nel richiamare, quale condicio sine qua non, l’assoluta mancanza di conflitto di interessi del DPO.
È proprio quest’ultimo aspetto che, nella decisione qui in esame, ha portato l’APD a rinvenire una violazione del Regolamento in riferimento alla posizione del DPO all’interno dell’azienda soggetta ad investigazione. Nel caso de quo, il DPO ricopriva anche il ruolo di direttore dei dipartimenti compliance, risk management e internal audit (una scelta affatto inusuale per molte aziende).
L’esercizio cumulativo di tali funzioni all’interno della struttura aziendale ha indotto l’Autorità a ritenere che il DPO non godesse dell’indipendenza richiesta a tale ruolo dal RGPD. Per giungere a tale conclusione, l’Autorità si è basata principalmente su tre argomenti.
L’intervento dell’autorità belga
In primo luogo, l’APD ha esaminato l’influenza del DPO sul processo decisionale relativo alle altre cariche da lui rivestite, con particolare riferimento al ruolo di direttore del dipartimento internal audit. In questo contesto, l’ Autorità ha sollevato la questione inerente la possibilità per il DPO di effettuare audit interni che possano sfociare nel licenziamento di dipendenti nel caso di performance negativa.
A tal proposito, l’APD ha sottolineato la differenza tra analizzare i processi aziendali e occuparsi di audit interni che mirino ad esaminare anche le prestazioni dei dipendenti. In quest’ultimo caso, secondo l’APD il potere affidato al DPO lede la fiducia che i dipendenti dell’azienda devono poter riporre in questa figura, in virtù del ruolo di interlocutore che gli viene affidato dal GDPR.
In altri termini, il venir meno di tale fiducia erode il ruolo stesso che il Regolamento assegna al DPO nel contesto aziendale, ossia quello di una figura con cui i vari team devono essere liberi di confrontarsi rispetto alle diverse questioni relative al trattamento dei dati personali in azienda.
In secondo luogo, l’Autorità si è soffermata sul ruolo del DPO nei dipartimenti da lui diretti, analizzando l’esistenza di eventuali poteri decisionali in capo al DPO in relazione alle finalità e modalità del trattamento.
Nelle sue argomentazioni, l’APD ha richiamato quanto già espresso sul punto dal Working Party Article 29 (“WP29“) nelle “Linee-guida sui responsabili della protezione dei dati”, WP243. In particolare, il WP29 aveva considerato quale aspetto fondamentale ai fini della valutazione dell’indipendenza del DPO la circostanza che questi giochi un ruolo nel definire, a causa delle altre funzioni a lui affidate, “le finalità e le modalità del trattamento dei dati personali”.
In altri termini, il DPO non deve godere di poteri decisionali rispetto alle scelte che l’ente compie in termini di trattamento dei dati personali (ad esempio quali dati trattare, per quali fini utilizzarli ecc.). Questa circostanza avvicinerebbe la posizione del DPO a quello che è il ruolo proprio del titolare del trattamento e ne comprometterebbe l’indipendenza. Nelle linee guida, il WP29 aveva suggerito anche che conflitti di interessi possono sorgere nei casi in cui il DPO rivesta posizioni di senior management, come quelle di Amministratore Delegato, Direttore IT o Direttore Marketing.
Tuttavia, secondo il WP29, una carenza di indipendenza del DPO si potrebbe riscontrare anche laddove questi sia titolare di ruoli, sì, minori, ma che gli conferiscano un qualche potere decisionale nella definizione delle finalità e modalità del trattamento. Di conseguenza, il WP29 concludeva che un’analisi caso per caso basata sulla struttura dell’ente si rivela di volta in volta necessaria.
Pertanto, rifacendosi alle linee-guida del WP29, l’APD ha ritenuto che essere a capo dei dipartimenti compliance, risk management e internal audit conferisce al DPO la possibilità di determinare le finalità e le modalità del trattamento in relazione alle attività di questi, ledendo così la sua indipendenza.
A nulla è valso che l’azienda abbia argomentato tra le sue difese che ai dipartimenti di cui il DPO è a capo sono riconosciuti solo compiti consultivi e non anche decisionali, e che quindi nessuna simile funzione può essere riconosciuta al DPO come direttore di tali dipartimenti.
L’APD è stata infatti di avviso contrario, concludendo che il dipendente dell’azienda si trovava in una situazione di conflitto, essendo impossibilitato a svolgere, in maniera autonoma e indipendente, un ruolo di supervisione nei confronti dei dipartimenti di cui lui stesso è a capo.
Sul punto giova notare che già nel 2016 l’autorità tedesca per la protezione dei dati, con una decisione fondata su simili motivi, aveva sanzionato un ente per aver nominato come DPO il direttore del dipartimento IT. In sostanza, l’APD ha ritenuto che porre il DPO a capo di un dipartimento che da questi dovrebbe essere supervisionato costituisce un caso di conflitto di interessi.
L’APD ha poi notato come tale conflitto di interessi potrebbe avere anche delle conseguenze negative sugli obblighi di segretezza e riservatezza del DPO in relazione all’adempimento del suo ruolo e nei confronti del personale dell’azienda, come imposto dall’ articolo 38 RGPD.
Infine, il terzo e ultimo argomento a fondamento della decisione dell’Autorità è la verifica dell’esistenza o meno di garanzie che permettessero al DPO, nella struttura organizzativa, di svolgere in autonomia le proprie funzioni. Sul punto, l’Autorità ha rilevato l’assenza di regole e linee-guida interne volte a individuare e dirimere possibili conflitti di interessi, in quanto l’ente aveva omesso di sviluppare (e documentare) siffatti meccanismi.
Conflitto di interessi del DPO: la sanzione
Sulla scorta degli argomenti sopra esposti, l’APD ha ritenuto di imporre la sanzione di 50.000 euro all’azienda e ha ingiunto a quest’ultima di conformare, in base ai poteri correttivi ad essa riconosciuti, il trattamento alle disposizioni del Regolamento.
A fini di completezza, si sottolinea come la decisione dell’APD si soffermi anche sul profilo relativo all’ effettivo coinvolgimento del DPO in relazione alla gestione del data breach. Tali profili non hanno indotto l’APD a ritenere che ci fosse alcuna violazione del RGPD, e non sono stati in questa sede trattati.
Conclusione
La decisione dell’APD qui in commento contribuisce a riportare in superficie le problematiche con cui si confrontano molti enti in relazione alla nomina del DPO e all’esercizio in concreto delle sue funzioni.
Abbiamo visto che, in seguito all’entrata in vigore del Regolamento, molti enti hanno optato per la nomina di un DPO interno. Tra questi, alcuni hanno identificato una nuova figura ad hoc, talvolta ponendola a capo di un team di collaboratori con diversi profili professionali. In molti altri casi la scelta è ricaduta sui direttori del team legale, IT, compliance o risk management, per i quali quella di DPO è diventata una carica aggiuntiva.
La decisione dell’APD contribuisce a riportare in superficie la debolezza che talvolta sottende le scelte relative alla nomina del DPO, la cui indipendenza non viene molto spesso tenuta in debito conto. La decisione arriva fino a lasciare intendere che la sovrapposizione del ruolo di DPO con quello di direttore di un dipartimento potrebbe essere di per sé sufficiente a far sorgere un conflitto di interessi e a ledere l’indipendenza del DPO. Ed evidenzia altresì l’importanza di avere regole interne che garantiscano al DPO di operare in maniera autonoma in ogni caso, ovvero anche qualora questi rivesta cariche aggiuntive.
La decisione in questione può dunque fornire l’opportunità di riconsiderare il ruolo del DPO, soprattutto allo scopo di valutare se le sue ulteriori funzioni, la sua posizione in seno alla struttura organizzativa e i regolamenti interni all’ente consentano un esercizio in concreto dei suoi compiti, che sia realmente indipendente e dunque in linea con il Regolamento. Tanto una nomina meramente formale del DPO, quanto l’attribuzione in capo a questi di funzioni in conflitto di interessi svuotano tale ruolo di significato, rendendo difficile da esercitare un compito già di per sé delicato.
