DPO figura sia interna o esterna all’azienda? Ormai il quadro normativo in materia di protezione dei dati personali è definito da tempo.
Tutte le aziende sono state tenute ad adeguare la propria situazione e contestualmente a nominare un responsabile, il cosiddetto “Data Protection Officer”.
E’ proprio la nomina di tale responsabile che oggi vogliamo prendere in considerazione.
Analizzando, non più come si è fatto in passato, le opportunità e/o i vantaggi che potrebbero derivarne dalla nomina ma un aspetto più intrinseco: “il conflitto di interessi”.
Questo e’ quello che potrebbe generare l’incarico da DPO in base al fatto che tale figura sia interna o esterna all’azienda.
Per intenderci se tale incarico debba e può esser parte organica dell’assetto aziendale, quindi individuato tra i propri dipendenti o, ci si debba avvalere di professionisti esterni, nominati sulla base di un contratto di servizi.
DPO interno
Parte integrante del personale dipendente della società per la quale svolge tale funzione, in linea con quanto previsto dall’art. 37 comma 6 GDPR.
…..
Il Data Protection Officer, qualora interno, può ricoprire anche ulteriori mansioni e funzioni (art. 38 comma 6 GDPR).
Sono escluse le funzioni di vertice che concorrono all’individuazione delle finalità e dei mezzi del trattamento da parte del titolare dello stesso, collegate con le stesse direttamente o indirettamente anche da rapporti amicali consolidati.
Sono escluse le funzioni più vicine al core business dell’azienda, quali quelle legate al marketing, alle vendite, alla finanza, all’IT, e cosi via.
Concetto ribadito anche nelle linee guida del Gruppo di Lavoro – Articolo 29 (WP29, oggi “EDPB”), come aggiornate al 2017, e dal position paper, del settembre 2018, firmato dal Garante europeo per la Protezione dei Dati (EDPS)
Il conflitto d’interesse si ravvede, addirittura, anche in posizioni aziendali di livello intermedio operanti in dipartimenti/uffici che concorrono alla strutturazione dei processi di compliance aziendale.
Un elemento caratterizzante il ruolo del DPO è la sua indipendenza.
L’indipendenza si configura con la propria autonomia di gestione, organizzazione e relazione all’interno della struttura aziendale.
Il DPO deve potersi relazionare con i vertici aziendali senza alcun tipo di timore e di intermediazione, come espressamente previsto dallo stesso GDPR.
…..
Non sono pochi i casi di Responsabili della Protezione dei Dati che rimangono in una posizione di livello intermedio nel dipartimento e/o ufficio a cui erano inizialmente assegnati o in cui, proprio in virtù dell’art. 38 comma 6 GDPR, continuano a svolgere ulteriori funzioni.
Ciò rende evidente un contrasto con il principio di autonomia e indipendenza.
“Conflitto di interessi”
Lo svolgimento sereno del proprio ruolo, può porsi in contrasto con le direttive aziendali, e la necessità di rispettare prescrizioni, direttive ed ordini di servizio dei propri diretti superiori gerarchici.
Oltre all’assenza di una diretta relazione con i vertici aziendali, c’è da chiedersi come potrebbe, tale soggetto, essere autonomo se soggetto a direttive di un suo superiore gerarchico.
La mancanza di autonomia limita il raggio d’azione del DPO, snaturando la sua figura.
Una posizione non apicale del DPO comporterebbe:
- lontananza dal vertice del titolare,
- scarsa capacità di incidere sulle scelte economiche relative al budget da cui attingere per i propri compiti, ai sensi dell’art. 38 comma 2 GDPR.
…..
Attenzione, poi, in quanto anche qualora il DPO interno occupasse una posizione apicale.
Questo gli consentirebbe di poter svolgere con autonomia ed indipendenza il proprio ruolo, ma il problema del conflitto di interessi verrebbe annullato solo se questi non operasse anche in altri ruoli.
Il DPO interno per integrare pienamente l’interpretazione delle norme del GDPR deve essere figura apicale a diretto riporto del vertice dell’azienda (o della pubblica amministrazione).
Inoltre deve essere dedicato esclusivamente a svolgere tale compito.
Quindi sarà più difficile che un DPO interno che svolga altre funzioni possa trovare anche il tempo e abbia la necessaria indipendenza per svolgere bene il compito di DPO lontano dal rischio di conflitti di interesse con quelli del titolare.
La questione del conflitto di interesse qui va letta proprio in questa direzione.
Gli interessi del titolare del trattamento potrebbero non essere sempre in linea con norme e prescrizioni del GDPR e sarà compito del DPO far sì che l’azienda rispetti la legge sul trattamento dei dati.
Profilazione e DPIA
Immaginate un’azienda che decida di spingere l’acceleratore sulla valorizzazione degli asset informativi rappresentati dai dati personali della propria clientela attraverso campagne di marketing e profilazione basate unicamente sull’uso dell’opt out.
Questo potrebbe verosimilmente far impennare le vendite dell’azienda, ma potrebbe esporre il titolare del trattamento a quel famoso rischio sanzione fino al 4% del fatturato globale.
Compito del bravo DPO sarebbe quello di segnalarlo, di richiedere una DPIA, una valutazione della sussistenza del legittimo interesse, ed in caso negativo attivare una consultazione preventiva con il Garante.
Il titolare potrebbe non essere d’accordo.
Il DPO interno, avrebbe la forza di contraddire il titolare, suo datore di lavoro?
Forse, magari forte di un parere di un avvocato esterno.
Ma molti, tanti, potrebbero preferire il basso profilo per “quieto vivere”.
Questo è il vero conflitto di interessi che attanaglia la vita professionale del DPO interno.
Un DPO non dovrà ad ogni costo compiacere l’azienda.
Infatti per sterilizzare il rischio che il titolare scontento di una posizione assunta dal DPO, possa liberarsi dello scomodo collaboratore, la legge ha previsto il divieto di rimuovere il DPO per fatti connessi all’esercizio della sua funzione.
L’obbligatorietà di assegnare al DPO ex ante un budget, deriva proprio dalla necessità di “immunizzarlo” dal rischio che il titolare lo marginalizzi per potersene liberare.
Ma il datore di lavoro ha mille strumenti per depotenziare l’azione di uno scomodo dipendente.
…..
Come noto, poi, qualsiasi dipendente, imposterà il suo lavoro secondo le dinamiche aziendali di riferimento, sempre proiettato alla crescita del business della propria società e della propria carriera professionale.
Se tali elementi soggettivi risultassero preponderanti nella definizione di indipendenza del ruolo allora potremmo considerare il DPO interno non “libero di agire” per sua stessa natura.
Si vuole cogliere l’occasione per sollecitare una riflessione sull’opportunità di un affiancamento di consulenti esterni in ambito legale e IT.
Anche la costituzione di un team interno che collabori con il DPO è una soluzione sempre utile per rafforzarne ruolo ed indipendenza.
DPO esterno
Relativamente al Responsabile per la Protezione dei Dati Personali in outsourcing, le criticità sollevate fanno da eco a quelle finora analizzate.
Un soggetto esterno alla società non avrebbe alcun interesse ad essere promosso o, comunque, a scalare l’organigramma aziendale ed in tal senso a compiacere i suoi superiori.
Il consulente esterno nominato DPO avrebbe l’interesse ad essere riconfermato e quindi a non perdere la consulenza.
In tal senso potrebbe essere tentato dal non scontentare mai il titolare del trattamento.
Una soluzione a tale problema potrebbe rinvenirsi nella scelta di contrattualizzare il servizio per un periodo relativamente lungo, prevedendo ipotesi di rinnovo coerenti.
Un rapporto tra il DPO esterno e la società che viri verso un’impostazione di questo tipo consentirebbe al DPO di poter svolgere le proprie attività con maggior serenità e con miglior capacità di programmazione.
Di conseguenza, la società avrebbe modo di strutturare i processi di controllo e gestione in materia di protezione dei dati personali con una maggior lungimiranza e coerenza, riducendo così il rischio di conflitto di interessi del DPO.
…..
La Commissione europea aveva previsto nel testo, poi non approvato, della proposta di regolamento del 2012, all’art. 35 comma 7:
“Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno due anni.
Il mandato del responsabile della protezione dei dati è rinnovabile. […]”.
Tale previsione poteva essere interpretata come la volontà, da parte del legislatore europeo, di collegare la previsione di una durata minima biennale del “mandato” ad una maggior indipendenza del ruolo di DPO.
…..
Il DPO è funzione di controllo ma anche di consulenza del titolare.
Volendo provare a seguire il tracciato di questa tesi, c’è da chiedersi in che modo il conflitto d’interessi verrebbe a nascere.
In particolare, in che modo l’azione svolta dal consulente privacy possa incidere sulla capacità di individuazione delle finalità e delle modalità di trattamento.
Analizzando anche le affermazioni del Garante Europeo, questa ipotesi di conflitto di interessi si basa sull’appartenenza del DPO alla funzione aziendale di compliance.
Che lo stesso quindi sia parte integrante dell’organigramma aziendale e che sia stato, anche solo parzialmente, coinvolto nelle decisioni e nei processi afferenti il proprio team.
Per quel che ci riguarda, il consulente privacy esterno non può ritenersi in conflitto di interessi se DPO della stessa società.
Come può la consulenza di un libero professionista incidere sui processi aziendali ed esser paragonata a quella di chi quotidianamente agisce nel contesto aziendale?
Pur svolgendo un compito specifico in raccordo con gli organi manageriali dell’azienda, questi resta soggetto all’intermediazione e alle relative valutazioni delle funzioni direttive e dunque del titolare del trattamento.
Infine, chi potrebbe far meglio del professionista che dopo aver curato il progetto di compliance privacy dell’azienda sia stato nominato DPO esterno dell’azienda stessa?
Parte già con il vantaggio di conoscerne i meccanismi e di averne scritto le policies aziendali rispetto a chi dovrebbe maneggiare per la prima volta strumenti di compliance magari preparati da altri o addirittura scaturenti solo da applicativi software.
…..
Sicuramente il numero di funzioni analoghe ricoperte potrebbe generare dei rischi.
Rischi amplificati laddove questi svolga lo stesso compito per altre decine di aziende.
Questo problema e’ facilmente aggirabile con un team di collaboratori professionalmente formati e competenti , che riescano a presidiare quotidianamente il perimetro aziendale.
La funzione del DPO si esalta ancora di più mediante l’uso intelligente di tecniche di smart working.
Questo contribuisce a garantire l’indipendenza e l’autorevolezza della funzione svolta.
La professionalità del DPO sta anche nella capacità di essere sempre terzo, controllore e consulente del titolare, evitando i conflitti di interesse nell’adempimento dei suoi compiti.
Fonte: Rocco Panetta – “avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals” – Agenda Digitale (EU)