In ambito GDPR, la figura del DPO è ancora un tema centrale dei dibattiti: i dubbi si pongono anche relativamente al soggetto da nominare e sull’eventuale gestione del conflitto di interessi.
Le esperienze emerse sino ad oggi rivelano infatti come in larga parte la nomina del DPO costituisca un atto di adempimento formale, informato a criteri di economicità e risparmio piuttosto che di reale strumentalità alla costruzione di un efficace modello di gestione aziendale dei dati personali.
Tale approccio è il naturale effetto della scarsa consapevolezza dell’effettivo ruolo e funzione del DPO rispetto alla gestione dei trattamenti dei dati del soggetto designante e al relativo processo di adeguamento.
Ciò ha dato luogo a una serie di prassi – erronee e che comunque trascurano completamente la ratio della normativa – in relazione alla scelta del soggetto (sia esso persona fisica o giuridica) nominato alla carica.
Indice degli argomenti
Ruolo, funzioni e caratteristiche del DPO
Prima di svolgere qualsiasi ulteriore considerazione, è bene ricordare che il DPO secondo la normativa dovrebbe essere:
- professionista esperto dotato di competenze specifiche e specialistiche in materia di protezione dei dati, con particolare riferimento alla conoscenza della normativa e delle prassi in materia;
- indipendente (considerando 97);
- in una posizione tale da riferire al più alto livello gerarchico (art. 38, c. 3, GDPR), come il CdA (cfr. WP29);
- in una posizione tale da non dare “adito a un conflitto di interessi” (art. 38, c. 6, GDPR).
D’altronde, tali “peculiarità” rispondono esattamente alle funzioni (consultiva, di vigilanza e di controllo) che il DPO è chiamato a svolgere, e precisamente:
- “fornire assistenza” (considerando 97 GDPR) e consulenza al designante in condizioni di assoluta autonomia e indipendenza (cfr. spec. art. 38 commi 3 e 6 GDPR);
- verificare l’applicazione e l’attuazione sia delle norme sia delle politiche dettate dal designante relativamente al trattamento dei dati personali (cfr. art. 39 c.1, lett. b);
- fungere da interlocutore dell’Autorità Garante e degli interessati (cfr. art. 39 e 38 c. 4);
- “sorvegliare l’osservanza” di tutte le norme e delle politiche del designante in ordine al trattamento dei dati personali “compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (art. 39 c.1, lett. b).
Conflitto di interessi e mancanza d’indipendenza: principi e casistica
L’evidente ruolo di “controllore” della conformità dell’ente al GDPR assegnato dalla legge al DPO comporta di per sé una situazione di incompatibilità della carica rispetto a ruoli e funzioni aziendali o a incarichi professionali tali da consentire (per posizione o per mansione/oggetto del mandato) un’interferenza del DPO sulla determinazione delle modalità, finalità ecc. del trattamento dei dati, integrando un conflitto di interessi.
Sul punto, sia le “Linee-guida sui responsabili della protezione dei dati (RPD)” del WP29 sia il Position Paper del 30.9.2018 dell’EDPS hanno evidenziato che può esserci un conflitto di interessi laddove il ruolo di DPO sia svolto da manager operativi (come l’amministratore delegato, il direttore operativo, il direttore finanziario, la direzione risorse umane, la direzione marketing, il responsabile IT ecc.), in quanto soggetti particolarmente “attivi” nella gestione del trattamento dei dati personali (o perché concorrono a determinare le finalità e le modalità del trattamento dei dati personali o perché li trattano con regolarità).
Così come da manager delle funzioni di controllo (e questo non era scontato) o comunque da coloro che, senza ricoprire posizioni di vertice, sono addetti alla compliance aziendale (come i componenti del team dell’ufficio legale o del risk management ecc.), che potrebbero trovarsi a verificare la correttezza di processi di conformità da loro stessi implementati (cfr. par. 4.5 Position Paper : “A conflict of interests may typically also arise (even for lower level positions), (…) when a DPO who is also part of the compliance team must assess compliance checks and related data processing that they have designed”).
Le situazioni da evitare
In pratica, è necessario evitare situazioni di possibile conflitto derivanti da una posizione gerarchica che può impattare sul trattamento dei dati (ad esempio, il responsabile della funzione marketing che rivestisse anche il ruolo di DPO potrebbe essere indotto dal doppio ruolo a suggerire una strategia “commerciale” conveniente ai suoi scopi, ma meno conforme con la normativa) o derivanti dall’assunzione di altre responsabilità, nella gestione dei dati personali, tali da incidere sull’imparzialità del DPO nell’attività di monitoraggio costante dei trattamenti dei dati personali in vista della conformità dell’azienda alle normative rilevanti.
Seppure i richiamati documenti (Linee Guida e Position Paper) sono stati elaborati prendendo in considerazione l’ipotesi del DPO interno, è fuori dubbio che la ratio posta alla base delle conclusioni ivi contenute possa essere estesa anche al DPO esterno, escludendo quindi anche in tale caso l’ipotesi di assunzione di altri incarichi che implichino la possibilità di prendere decisioni aziendali in materia di trattamento. Il caso emblematico è quello del consulente che abbia assistito, o addirittura stia assistendo, il designante nell’ambito del percorso di adeguamento al GDPR e assuma (contemporaneamente) l’incarico di DPO.
In tali casi non si può non cogliere l’incompatibilità dei ruoli: il DPO dovrebbe verificare e intervenire su un sistema di gestione del trattamento dei dati personali alla cui realizzazione egli stesso ha partecipato.
L’indipendenza del DPO
È il caso di evidenziare come una tale situazione sia tale da pregiudicare anche l’indipendenza del DPO, in quanto:
- da un lato, è intrinseco nell’attività consulenziale assumere “istruzioni” da parte del proprio committente (per es. in merito agli adempimenti prioritari, agli obiettivi da raggiungere ecc.);
- dall’altro lato, il DPO sarebbe “influenzato” dal fatto di avere partecipato con la propria attività all’assetto privacy oggetto di controllo (senza, quindi, potere essere terzo e imparziale).
A tale ultimo proposito, sembra opportuno rilevare come in ogni caso – anche astraendo dall’attuale riferimento alla normativa che ci occupa – appaia evidente l’irragionevolezza della scelta di attribuire il compito di analisi della conformità e correttezza di una certa policy o procedura aziendale a un soggetto (sia esso interno o esterno alla società) che ha partecipato alla relativa predisposizione (si pensi agli auditor, i quali per definizione operano in una situazione di indipendenza funzionale): l’obiettività individuale del soggetto, imprescindibile nell’ambito di un’attività di accertamento e valutazione di qualsiasi processo, risulterebbe infatti altamente compromessa, con un conseguente pregiudizio, o comunque impatto negativo, sull’efficienza dell’organizzazione (e, naturalmente, sull’attendibilità dell’intervento).
Si badi che nel Position Paper del 30.9.2018 si evidenzia chiaramente che:
“The Regulation provides that the EUIs shall ensure that the DPO does not receive any instructions regarding the exercise of their tasks. This provision is paramount in ensuring independence of DPOs. It refers not only to direct instructions from a superior, but also implies that a DPO must not be in a position to be inclined to accept certain compromises when dealing with controllers in high positions. This could be an issue for ‘contractual’ DPOs, including temporary agents, who feel that their position in a certain context could influence the extension or renewal of their contract. Certain elements can thus compromise this independent status within the EUI”.
Peraltro, le prassi in voga dimostrano come spesso “sfugga” ad alcuni designanti (e DPO) che un eventuale conflitto di interesse potrebbe rivelarsi anche in fase di coordinamento tra il tempo impiegato nell’adempimento delle mansioni di DPO e quello dedicato ad altri compiti e funzioni, con il rischio che le mansioni inerenti alla carica di DPO vengano “sopraffatte” dagli adempimenti derivanti dalle altre funzioni.
Potrebbe infatti accadere che il DPO interno che svolge anche altre funzioni (seppure non in conflitto “per materia”) sottragga tempo alle attività proprie del suo ruolo di DPO per fare fronte alle urgenze, o semplicemente alla mole di lavoro, proprie delle sue mansioni.
Il DPO esterno
Ugualmente si pone il tema del conflitto quando il DPO esterno non può allocare sufficienti risorse a questa attività perché, ad esempio, ha cumulato incarichi per diversi designanti che si rivelano eccessivi per le risorse a sua disposizione. Una tale situazione è palesemente in contrasto con il (peculiare e importante) ruolo attribuito al DPO.
A tale proposito, nel Position Paper del 30.9.2018 si legge che:
“Experience has shown that part-time DPOs have found themselves in a permanent conflict between allocating time and efforts to their regular tasks as opposed to investing in their DPO duties. Moreover, since DPOs are often evaluated based on their regular tasks rather than their work as DPO, they have often felt pressured to invest more in these other tasks”.
Le responsabilità derivanti dal conflitto di interessi del DPO
Fatti gli opportuni chiarimenti in merito al ruolo e alla collocazione del DPO, è necessario chiedersi quali conseguenze sarebbero prospettabili sotto il profilo della responsabilità nel caso in cui le suddette situazioni di incompatibilità dovessero realizzarsi.
Ricordiamo anzitutto che l’art. 38, comma 6, GDPR dispone che il titolare o il responsabile del trattamento (quindi il designante) devono “assicurarsi” che il DPO non agisca in conflitto di interessi.
Da ciò discende che la responsabilità di un eventuale conflitto è imputabile esclusivamente al designante, il quale in tale caso resta soggetto a una sanzione fino a € 10.000.000 o al 2% del fatturato annuo mondiale (ove superiore) (art. 83, co. 4, lett. a) GDPR). Nessuna responsabilità è invece imputabile al DPO.
Si badi però che, se sotto il profilo del GDPR il DPO è sempre esente da responsabilità (cioè non è mai destinatario della sanzione né risponde dell’eventuale danno procurato agli interessati), da un punto di vista civilistico potrebbe invece trovarsi anch’egli a subire conseguenze onerose a causa della situazione di conflitto.
Ora, nel caso del DPO interno in conflitto di interessi poiché l’organizzazione aziendale dipende naturalmente dal datore di lavoro (rectius dal designante), nessuna colpa dovrebbe essere imputabile al DPO che venisse a trovarsi in una situazione di incompatibilità per effetto delle scelte dello stesso designante. La conclusione è diversa nel caso di DPO esterno.
Si consideri infatti che:
- in tale ipotesi è lo stesso DPO a organizzare, nei limiti di quanto previsto dal contratto con il designante, la propria attività (anche in relazione al carico di lavoro rispetto alla contestuale assunzione di altri incarichi);
- in esecuzione dei generali principi di buona fede e correttezza, il DPO ha l’obbligo di comunicare preventivamente al designante eventuali conflitti di interesse;
- resta comunque in capo al designante l’onere di verificare la compatibilità del prescelto con l’assunzione del ruolo di DPO e la correttezza/veridicità delle eventuali dichiarazioni rese da questi sul punto.
Pertanto, il DPO esterno che dovesse versare in una situazione di conflitto di interessi potrebbe esporsi a responsabilità contrattuale nei confronti del designante per l’inadempimento del contratto di servizi, così come per l’eventuale omissione della segnalazione dell’eventuale conflitto ad esso imputabile; la responsabilità del DPO “reticente”, tuttavia, potrebbe risultare temperata da quella eventualmente concorrente del designante che non abbia posto in essere gli opportuni controlli per appurare tale circostanza (cfr. art. 38 GDPR).
