Funzione IT e incompatibilità con il ruolo di Data Protection officer: la lezione del Garante Privacy su metodo e criteri di valutazione
L’attribuzione di ulteriori compiti e funzioni a un DPO, tanto se precedente quanto se successiva alla designazione, comporta l’esigenza per l’organizzazione designante di dover valutare se da ciò possa derivare un conflitto d’interessi e di conseguenza incorrere in una violazione dell’art. 38 par. 6 GDPR.
(Nella foto:Stefano Gazzella, sarà speaker al Cyber & Privacy Forum 2023)
La CGUE nella causa C-453/21 ha già provveduto a fissare un’interpretazione della norma per cui ciò che rileva è una valutazione sostanziale e non meramente formale, con l’indicazione di metodo di seguire un case-by-case approach, tenere conto del contesto e di tutte le circostanze pertinenti e determinare così se le stesse sono idonee a configurare un conflitto di interessi.
Dal momento che è precisa responsabilità dell’organizzazione garantire che il Data Protection Officer non si trovi in una posizione di conflitto d’interessi, è possibile fare ricorso alle buone prassi individuate dalle Linee guida sui responsabili della protezione dei dati WP243 fra le quali figura l’individuazione di qualifiche e funzioni incompatibili e la previsione di un’illustrazione più articolata dei casi di conflitto di interessi. Perché ciò si possa tradurre su un piano pratico, è necessaria però l’adozione di alcuni criteri che devono trovare anche puntuale rendicontazione nel processo decisionale della designazione.
L’Autorità Garante per la protezione dei dati personali, con il provv. n. 363 del 31 agosto 2023 si è pronunciata su un caso di incompatibilità della funzione IT con il ruolo di DPO con un ammonimento nei confronti di un Comune. Sebbene tale caso di scuola già esemplificativamente richiamato all’interno del Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, il provvedimento è particolarmente utile in quanto conferma e dà evidenza sia di un metodo di valutazione quanto dei criteri da seguire.
La segnalazione che ha dato avvio all’apertura dell’istruttoria ha infatti riguardato la designazione da parte di un Comune di un DPO già direttore amministrativo di una società interamente partecipata dallo stesso e preposta alla fornitura in house di:
«servizi strumentali relativi a: supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati dell’Ente, attività di amministrazione dei sistemi informativi».
In forza dello svolgimento di tali attività, la società in-house si trovava infatti a svolgere il ruolo di responsabile del trattamento, espressamente regolato all’interno del contratto di affidamento e dei relativi allegati. Negli stessi veniva anche previsto lo svolgimento di attività di supporto per l’osservanza del GDPR nonché la facoltà di individuare un eventuale soggetto esterno da designare come DPO.
Tanto premesso, le contestazioni hanno riguardato in primo luogo la violazione dell’art. 38 par. 6 GDPR «per aver designato quale RPD un soggetto in posizione di conflitto di interessi in quanto titolare di un incarico di vertice che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune».
Nonostante il Comune abbia rappresentato nelle proprie difese che il DPO fosse in una posizione di autonomia e indipendenza formale in quanto diverso soggetto di diritto privato non essendo amministratore della società, queste non sono valse a superare i rilievi del Garante. Infatti, tale interpretazione non è stata valutata come fondata proprio tenendo conto degli elementi di contesto che sono stati specificamente analizzati nel corso dell’istruttoria.
Il conflitto di interessi è indubitabile nel momento in cui si concorre all’adozione di decisioni fondamentali sui trattamenti, e così è stato in forza dello svolgimento del proprio ruolo di direttore amministrativo della società in-house.
Un’ulteriore considerazione non di secondaria importanza è il fatto che in ogni caso, pur non svolgendo funzioni manageriali e concorrendo alle decisioni, in quanto dipendente che agisce sotto l’autorità di un soggetto responsabile del trattamento si è assoggettati al potere di istruzione del titolare ai sensi dell’art. 29 GDPR. Questo secondo aspetto è ancora più evidente dal compito delegato alla società di fornire attività di supporto all’osservanza del GDPR, dovendo non soltanto seguire le istruzioni ai sensi dell’art. 28 par. 3 GDPR ma venendo anche assoggettata ad un controllo da parte del Comune.
La conseguenza è pertanto quel venire meno dell’indipendenza funzionale richiesta dall’art. 38 par. 3 GDPR anche per trovarsi comunque, come dipendente che agisce sotto l’autorità di un responsabile del trattamento, in una posizione di assoggettamento al potere di istruzione del titolare ai sensi dell’art. 29 GDPR. Tale secondo profilo diventa ancora più evidente in ragione del compito delegato alla società in-house di supportare l’osservanza del GDPR essendo destinataria sia delle istruzioni che del controllo da parte del Comune, facendo così venire meno quella garanzia di indipendenza fissata dall’art. 38 par. 3 GDPR.
L’ulteriore violazione contestata riguarda invece l’art. 37 GDPR, per aver delegato al responsabile l’individuazione del DPO che invece è e deve essere una prerogativa esclusiva del titolare, nonché per non aver comunicato all’Autorità la variazione del DPO.
La criticità rilevata deriva da una clausola che assegna la facoltà di individuare un soggetto esterno da designarsi con successivo e separato provvedimento sindacale come DPO e che è stata valutata come suscettibile di interferire con l’autonomia decisionale del titolare. Considerate le circostanze, infatti, il Garante rileva che nel processo decisionale di individuazione del futuro DPO sarebbe stato infatti coinvolto un soggetto responsabile del trattamento il cui direttore amministrativo è anche DPO in carica presso il titolare. in questo caso, nonostante la potenzialità della clausola di cagionare un vulnus all’autonomia decisionale, sono state le circostanze concrete ad aver consentito alle difese presentate dal Comune di superare le contestazioni mosse. Infatti, oltre alla precisazione circa la natura del supporto ad una mera predisposizione del contratto con l’indicazione dei relativi requisiti, è stato valutato rilevante il fatto che nella nuova designazione successiva all’avvio dell’istruttoria l’Ente ha svolto le proprie valutazioni in piena autonomia.
Per quanto riguarda infine la mancata comunicazione della variazione dei dati di contatto del DPO, invece, a violazione è stata confermata nonostante la buona fede nell’aver svolto un errore nella mancata verifica del buon esito della procedura con un’inerzia successiva alla comunicazione di rigetto.
Considerate le circostanze, la violazione è stata valutata come minore, e di conseguenza il Comune ha ricevuto un ammonimento da parte del Garante. In generale, però, i criteri indicati possono essere particolarmente utili per una valutazione dei soggetti designati come DPO. Nello specifico, la funzione IT viene confermata essere incompatibile con il ruolo di DPO.
La speranza è che alcuni titolari ne prendano atto e agiscano di conseguenza individuando differenti soggetti non in posizione di conflitto di interessi. Per quanto riguarda gli Enti pubblici, è bene ricordare che è sufficiente la segnalazione da parte di un cittadino particolarmente attento che vada a leggersi la sezione di Amministrazione Trasparente per l’avvio di un’istruttoria che può portare a provvedimenti correttivi. E dato che non è detto che si incorra sempre in violazioni minori, è possibile che ci siano anche delle sanzioni pecuniarie con ogni conseguenza del caso. Anche di natura erariale.
