Ci sono state, e ve ne sono ancora, varie riflessioni su cosa debba intendersi per quella consulenza che il DPO – ai sensi dell’art. 39/679/2016, § 1., lett. a) – deve fornire rispetto alla concezione generale di quella per cui si ricorre al Privacy Consultant, ed anche il sottoscritto si è espresso nell’articolo <<Il DPO fra attività di consulenza e compiti di sorveglianza>> balenando l’ipotesi, di cui rimango convinto, che le due consulenze eventualmente erogate dal medesimo soggetto pongono il DPO in una agevole situazione di conflitto d’interessi.
Ed è su questo tema che mi voglio ancora qui soffermare. Quello del conflitto d’interessi sul quale il Titolare, ed il Responsabile, devono assicurarsi circa la sua assenza in sede di designazione, e a seguire, del Responsabile della Protezione dei Dati (RPD/DPO).
La possibilità di avvalersi di un DPO che può svolgere altri compiti e funzioni lascia al Titolare la convinzione di poter ricorrere al suo know how in lungo ed in largo. L’art. 38, al § 6, però, aggiunge che tali altri compiti e funzioni non diano adito a un conflitto d’interessi.
Ne consegue, ragionevolmente, che il DPO che prima della nomina sia intervenuto in qualità di Consulente privacy per assistere il Titolare nell’implementazione del modello di gestione dei dati personali possa ricoprirne il ruolo solo delegando le precedenti funzioni ad un altro soggetto.
Su questo aspetto, le linee guida del WP 29, si sono ben espresse con varie esemplificazioni di ipotesi di conflitto di interesse sia nel caso di assunzione del ruolo all’interno dell’organizzazione sia all’esterno attraverso un contratto di servizi ribadendo che un DPO non possa ricoprire ruoli che comportino la definizione delle finalità o modalità di trattamento dei dati personali né in posizione di vertice né in quelle gerarchicamente inferiori.
La determinazione delle finalità e dei mezzi del trattamento di dati personali è infatti una prerogativa del Titolare e, specularmente, del Responsabile.
La riflessione si sposta e a questo punto ci si chiede: “Ma quelli del Chief Internal Auditor, del Compliance Officer o del Legal sono ruoli che determinano finalità e mezzi del trattamento di dati personali?” Evidentemente si … e non c’è nemmeno bisogno di essere responsabili di funzione, se ci sono i presupposti.
Ma una soluzione c’è, è sufficiente usare un po’ di senso logico.
Fra tutte le definizioni, quella che trovo più vera, semplice e calzante anche in questo contesto è quella per cui il conflitto di interessi si configura qualora il DPO si trovi o possa trovarsi a controllare situazioni di gestione di dati personali da lui stesso determinate per posizione gerarchica o in virtù della propria funzione o incarico: vale a dire, quelle situazioni in cui si trovi, contemporaneamente, a essere controllore e controllato. E ciò a prescindere dal livello gerarchico coinvolto.
Se, così è se vi pare, le conclusioni a cui sono arrivate le autorità che si sono espresse sul conflitto di interesse del DPO sono evidentemente condivisibili.
Ne consegue che, a solo titolo esemplificativo, l’assunzione di ruoli come quelli di RSPP, Responsabile per la qualità o membro dell’Organismo di Vigilanza, svolti con incarichi di livello manageriale o nell’ambito di attività di consulenza o di prestazione d’opera, siano in conflitto d’interessi con la designazione del DPO in quanto idonei a determinare finalità e mezzi del trattamento di dati personali ..… salvo poi dimostrare che specifiche azioni sicuramente attribuibili al DPO – quali le attività di revisione, comprese le ispezioni, realizzati per conto del titolare del trattamento nei confronti del responsabile (art. 28/679/2016) laddove questi sia stato designato DPO anche dal Responsabile – siano state effettuate da un soggetto diverso.
Per i suddetti motivi, sono assolutamente in disaccordo sul fatto che, contrariamente al parere dello stesso WP29, i DPO possano realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali … pur sempre sotto la responsabilità del titolare o del responsabile.
Ma cosa vuol dire? Non bisogna evitare di dare adito a conflitti d’interesse?
Allora che sia il DPO ad occuparsi di tutto ciò che riguarda la protezione dei dati personali perché, tanto, è il titolare ovvero il responsabile a mantenere le proprie responsabilità.
Ma questa è una prassi consolidata e fondata sulle disposizioni di leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni ed agli organismi dell’UE.
A onor del vero, il Reg. UE 45/2001 prevede in maniera esplicita il compito, per il responsabile della protezione dei dati, di tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le informazioni di cui all’articolo 25, paragrafo 2 così come il fatto che la scelta del responsabile della protezione dei dati non deve dar luogo a un possibile conflitto di interessi tra la sua funzione di responsabile ed altre eventuali funzioni di ufficio, in particolare nell’ambito dell’applicazione delle disposizioni del presente regolamento.
Delle due, l’una: o il DPO può svolgere altri compiti e funzioni oppure no per assunzione automatica di conflitti d’interessi!
Un’ulteriore presa di posizione è quella per cui le linee guida del WP29, così come i provvedimenti del Garante, non hanno valore precettivo né inibitorio ponendosi solo come strumento interpretativo. Sarà, ma il mio DNA di consulente mi impone di non tergiversare su interpretazioni suscettibili di contenziosi che non portano da nessuna parte privilegiando, piuttosto, alternative certe e gestibili. E ciò a maggior ragione considerando che il Nucleo speciale tutela della privacy e frodi tecnologiche fa proprie tanto le linee guida quanto la posizione dell’Ufficio del Garante.
Ti ricordo che:
- per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
- per una consulenza specifica in materia di GDPR e normativa correlata;
- per un approccio puntuale nel raggiungimento dei tuoi obiettivi
occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.
Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Accredia Certified DPO, DP Auditor e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor