NEWS

Il trait d’union nel conflitto di interessi del DPO tra normativa, linee guida e princìpi giurisprudenziali

Il conflitto di interessi in generale è previsto da diverse normative e regolamenti di settore, con il fine di prevenire abusi e favoritismi che andrebbero a discapito dell’indipendenza e imparzialità di un ruolo o di una funzione.

Marco Pagliara, Avvocato, DPO e Privacy Officer certificato TÜV Italia

(Nella foto: Marco Pagliara, Avvocato, DPO e Privacy Officer certificato TÜV Italia)

In ambito normativa data protection, il responsabile della protezione dati (RPD o DPO) è il soggetto incaricato di svolgere i compiti previsti dall’art. 39 del Reg. UE n.679/2016, in relazione ai quali, ai sensi del par. 3, dell’art. 38, il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione concernente l’esecuzione degli stessi.

Il par. 6 del cit. art. 38 prevede altresì che il DPO può svolgere altri compiti e funzioni che non diano adito a un conflitto di interessi.

Il Considerando 97 al Reg. UE n.679/2016 ha previsto che il DPO dovrebbe poter adempiere alle funzioni e ai compiti sullo stesso incombenti in maniera indipendente.

E’ evidente che la normativa testé richiamata ha individuato, in estrema sintesi, 3 distinti profili attinenti il tema in esame: indipendenza, autonomia e assenza di conflitto di interessi.

La laconicità della trattazione normativa ha reso necessarie indicazioni da parte delle autorità amministrative e, da ultimo, interpretazioni giurisprudenziali, col fine di evitare abusi, da un lato, e strumentalizzazioni suscettibili di lesione di diritti.

Infatti, le linee guida del Gruppo di Lavoro art. 29 (anno 2016) -WP243, approvate dal Comitato Europeo per la protezione dei dati (EDPB), hanno fornito le seguenti indicazioni applicative: “l'articolo 38, paragrafo 6, consente agli RPD di "adempiere ad altri compiti e doveri". Richiede, tuttavia, che l'organizzazione garantisca che "tali compiti e doveri non si traducano in un conflitto di interessi".L'assenza di conflitto di interessi è strettamente legata all'esigenza di agire in modo indipendente. Sebbene agli RPD siano consentite altre funzioni, possono essere loro affidati altri compiti e doveri solo a condizione che questi non diano adito a conflitti di interesse. Ciò comporta in particolare che il DPO non può ricoprire una posizione all'interno dell'organizzazione che lo porti a determinare le finalità e i mezzi del trattamento dei dati personali. A causa della specifica struttura organizzativa di ciascuna organizzazione, ciò deve essere valutato caso per caso. Come regola generale, le posizioni contrastanti all'interno dell'organizzazione possono includere posizioni dirigenziali senior (come amministratore delegato, direttore operativo, direttore finanziario, direttore medico, capo del dipartimento marketing, capo delle risorse umane o capo dei dipartimenti IT) ma anche altri ruoli inferiori nella struttura organizzativa se tali posizioni o ruoli comportano la determinazione delle finalità e dei mezzi del trattamento. Inoltre, può sorgere un conflitto di interessi, ad esempio, se a un DPO esterno viene chiesto di rappresentare il titolare del trattamento o il responsabile del trattamento dinanzi ai tribunali in casi che riguardano questioni di protezione dei dati”.

Secondo la normativa privacy, il DPO non deve operare in conflitto di interessi

Il Garante Privacy italiano, nelle FAQ sul Responsabile della Protezione Dati in ambito privato (aggiornamento maggio 2021), allegate alle linee guida RPD, ha ulteriormente chiarito che il ruolo del RPD è compatibile con altri incarichi a condizione che non sia in conflitto di interessi: “in tale prospettiva, ove il RPD sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione del ruolo di RPD a soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto, potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi. Laddove il RPD sia una figura esterna all’organizzazione, non appare compatibile con i requisiti di indipendenza previsti dall’art. 38 del RGPD, l’assegnazione di tale incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.)”.

In sede giurisdizionale, la Corte di Giustizia dell’Unione Europea (CGUE), che come è noto ha il ruolo istituzionale di garantire che il diritto dell’UE venga interpretato e applicato uniformemente in ogni paese europeo, con sentenza del 9 febbraio 2023, è stata chiamata a pronunciarsi, in via pregiudiziale, sull’interpretazione dell’art. 38, paragrafo 6, del Reg. Ue n. 679/2016 (conflitto di interessi del RPD). Orbene, per la Suprema CGUE, il RGPD n. 679/2016 non stabilisce alcuna incompatibilità di principio, tra l’esercizio delle funzioni di RPD e quelle di altre funzioni presso il titolare del trattamento o il responsabile del trattamento, tanto è vero che possono essere affidati al RPD anche compiti e funzioni diverse, di talché ha enunciato il seguente principio di diritto: “l’art. 38, paragrafo 6, del regolamento 2016/679 deve essere interpretato nel senso che può configurarsi un conflitto di interessi, ai sensi di tale disposizione, qualora il responsabile della protezione dei dati sia incaricato di altri compiti e funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento o il responsabile del trattamento, circostanza che spetta al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze pertinenti, in particolare della struttura organizzativa del titolare del trattamento o del responsabile del trattamento e alla luce dell’insieme della normativa applicabile, ivi comprese eventuali politiche interni di questi ultimi”.

Pertanto, è evidente che dal trait d’union tra normativa, linee guida e principi giurisprudenziali nomofilattici emerge la considerazione conclusiva secondo la quale può affermarsi che per evitare un conflitto di interessi, nell’espletamento di compiti e delle proprie funzioni, il DPO deve astenersi dal ricoprire ruoli, incarichi o svolgere attività e mansioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento o il responsabile del trattamento.

Note sull'Autore

Marco Pagliara Marco Pagliara

Avvocato, DPO e Privacy Officer certificato TÜV Italia. E' Delegato Federprivacy nella provincia di Foggia.

Prev DPO: quali dati di contatto pubblicare e perché un modulo non è sufficiente
Next I rischi sulla privacy delle chatbot: da Replika a ChatGPT

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy