Una sentenza del Garante Privacy in Belgio ha di recente acceso i riflettori sul dibattito da tempo persistente: “DPO interno o esterno alla realtà aziendale?”
Da quanto è emerso, un responsabile interno all’azienda non potrebbe più assumere il ruolo di DPO (Data Protection Officer) per la medesima azienda, pena la mancanza della necessaria autonomia.
La decisione è stata presa a seguito di accertamenti in merito ad una violazione dei dati personali che verteva su due elementi:
- la presunta violazione dell’art. 38.1 del Gdpr, in quanto era emerso che il DPO non fosse coinvolto by-default in tutti i processi che avevano ad oggetto il trattamento di dati personali;
- la presunta violazione dell’art. 38.6 Gdpr, alla luce dei molteplici ruoli ricoperti (cioè capo dei dipartimenti di Compliance, Risk management e Audit) dallo stesso soggetto nominato DPO all’interno della società titolare del trattamento.
Quindi il vero snodo del provvedimento dell’Autorità è proprio relativo alla posizione che il DPO assume all’interno del contesto aziendale, non potendo in alcun modo coincidere con posizioni rappresentative della titolarità del trattamento, ovvero in quelle funzioni che hanno potere decisionale o che concorrono alla definizione delle finalità e dei mezzi del trattamento dei dati, onde evitare il rischio di conflitto di interessi derivanti dalla posizione del DPO in azienda.
Il fattore importante è capire se le attività svolte per l’audit interno riguardano la sola consulenza (analisi dei processi di business e stesura dei report) oppure anche la creazione del cosìddetto ‘Remediation Plan’ (ovvero l’insieme delle attività necessarie per raggiungere il pieno rispetto della normativa sulla Privacy) che può incidere anche profondamente nelle scelte aziendali, sui dipendenti e sui collaboratori, confondendosi così con le prerogative del Titolare del Trattamento.
In tal modo emerge fortemente l’idea che un responsabile interno non possa assumere contemporaneamente il ruolo di Data Protection Officer (DPO) ai sensi dell’art. 38.6 Gdpr., non potendo garantire imparzialità di valutazione né svolgere il proprio ruolo nel pieno della sua autonomia.
Come potrebbe, infatti, un soggetto che non sia in una posizione di forza, porsi con agilità in contrasto con le direttive aziendali provenienti dal proprio capo o da un altro suo superiore gerarchico nell’organigramma aziendale? E allo stesso tempo, come poter dormire tranquilli, ricoprendo il ruolo di Titolare del trattamento e sapendo di non avere al loro posto tutti i tasselli della compliance?
La soluzione è semplice: l’acquisizione di un DPO in outsourcing, la figura che assume una posizione predominante nella risoluzione di tutte queste conflittualità.
Il Dpo esterno, infatti, potrebbe ricoprire le sue funzioni lontano dal rischio di conflitto di interessi interno all’azienda, senza necessariamente occuparsi delle attività di competenza dei dipendenti o di eventuali collaboratori e, soprattutto, senza alcuna posizione di subordine ad altri ruoli aziendali.
Oltretutto, risulterebbe la scelta più semplice per il Titolare d’azienda affidarsi a qualcuno che abbia già comprovate qualità e conoscenze specialistiche della materia, professionisti del settore che svolgono queste funzioni da molto tempo e per diverse realtà.
Se stai cercando un DPO in outsourcing a cui affidare completamente l'incarico o semplicemente per affiancare il tuo DPO interno, contattaci senza impegno a info@enterprise-solutions.net o ai Cel. 371 46 37 145 - 371 46 30 129 per una consulenza gratuita.