ARGOMENTO:

Grazie della tempestiva risposta, avvocato.

Avevo fatto una valutazione simile e desideravo capire se l'interpretazione potesse essere condivisibile.

Cordialità

In sintesi propongo questo punto di vista: è vero che il CFO è un soggetto giuridicamente distinto dalla committenza e in questo senso si è/sarebbe spinti a pensare per costui alla figura/funzione del responsabile; ciò nondimeno, nell'ottica della 'data protection', è da ritenere preferibile, più corretto, il suo inquadramento come funzione interna alla struttura, al perimetro organizzativo delle committenze.
In tale proposta/ipotesi è ovviamente implicita una/la necessaria distinzione tra il profilo giuslavoristico (per il quale valgono senz'altro tutte le riferite specificazioni contrattuali, principalmente finalizzate ad escludere la natura non subordinata del rapporto) e quello della protezione dei dati (stando al quale il CFO, anziché trattare i dati "per conto" del titolare, opererebbe/opera “sotto l'autorità” del medesimo, per l'appunto come incaricato/autorizzato).

Buonasera,
mi trovo a dover identificare il ruolo privacy del CFO dell'azienda X.

X è una holding senza dipendenti che demanda il ruolo CFO in outsourcing ad un professionista esterno. Nello specifico, inoltre, il medesimo soggetto viene designato come CFO anche per le altre aziende appartenenti alla holding.

Nel contratto sottoscritto dalle parti, si fa riferimento ad autonomia operativa del CFO, seppure per le modalità tecniche si dovrà attenere a quanto indicato dalla committente.
Tuttavia l'utilizzo di strumenti di lavoro di proprietà della committente (inclusi indirizzo email nominativo, o altro) "non possono essere interpretati alla stregua dell'inserimento del consulente nell'organizzazione aziendale della committente o di altre società del gruppo" (citazione del contratto).

Il dubbio interpretativo nasce dal fatto che, pur trattandosi di un professionista esterno, dotato di formale autonomia (e di autonoma partita IVA), i mezzi utilizzati e le finalità perseguite sono quelli di X.

A mio avviso, c'è un parallelismo rispetto alla figura dell'OdV che lo stesso Garante ha identificato come Autorizzato anche nel caso di professionista esterno.

Mi piacerebbe conoscere il vostro punto di vista sulla questione, se sia più corretto identificarlo come Autorizzato oppure come Responsabile Esterno.