Nomina DPO: un'azienda tedesca ha ricevuto una sanzione di 525.000 euro per aver nominato il DPO in conflitto d'interessi.

Nomina del DPO in conflitto d'interessi: il Garante tedesco aveva già ammonito l'azienda

Il Garante per la protezione dei dati personali berlinese aveva già riscontrato, nel 2021, la violazione. L'azienda in questione aveva nominato come DPO di una filiale del proprio gruppo e-commerce la stessa persona che ricopriva il ruolo di amministratore delegato di altre due società di servizi. Queste società di servizi trattavano i dati per conto della prima società e fanno parte del gruppo che si occupa del servizio clienti e della gestione degli ordini.

Nel 2021 il Garante aveva già ammonito la società, sottolineando l'evidente conflitto di interessi in atto a causa di questa nomina: il gruppo era stato formalmente avvertito.

 "Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell'ambito dell'elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato"

si legge nel provvedimento. Il Garante ha sottolineato la contraddizione tra il dovere del DPO di monitorare il rispetto della normativa in fatto di protezione dei dati personali e il ruolo decisionale sui trattamenti dati svolto dalla stessa persona come amministratore delegato.

Il secondo controllo e la sanzione

A seguito di ulteriore controllo effettuato quest'anno, l'autorità tedesca ha riscontrato che la violazione era ancora in corso. Da qui è scaturita la decisione di infliggere una sanzione di entità elevata. Nell'elaborare la sanzione il Garante ha tenuto di conto il fattura del gruppo ma anche il fatto che la violazione è avvenuta nei confronti di un gran numero di dipendenti e clienti del gruppo. Non solo però: il Garante ha tenuto di conto e premiato la collaborazione dell'azienda e il fatto che il gruppo ha sanato il problema una volta ricevuta comunicazione dell'avvio del procedimento sanzionatorio.

Qui è consultabile il provvedimento completo

Autonomia, indipendenza e conflitto d’interesse del DPO 

La normativa specifica anche che il ruolo del DPO non è tutelare gli interessi del titolare del trattamento. Al contrario il DPO deve tutelare i dati personali, quindi i diritti degli interessati. Ne discende la necessità che il DPO possa svolgere la propria mansione in piena autonomia e indipendenza e in assenza di conflitto d’interesse. Ciò rende impossibile, per chi si trova ai vertici di un’azienda o di un ente, ricoprire il ruolo di DPO.

La sanzione subita dal Comuine di Villabate per aver nominato DPO il responsabile degli Affari Generali deriva proprio dalla necessità che il DPO non abbia conflitti d’interesse con il responsabile del trattamento. Per approfondire > Nominano DPO il responsabile Affari Generali: il Garante Privacy sanziona il comune di Villabate

Il Garante sloveno è stato ancora più specifico e, rispetto al settore privato, ha specificato che figure come 

• l’amministratore delegato;
• il direttore operativo;
• il direttore finanziario;
• i responsabili del marketing, delle risorse umane e il responsabile IT;
• altri ruoli subordinati nell’organizzazione aziendale
• siano incompatibili con la nomina a DPO.

L’art. 38 GDPR invece specifica che il DPO non deve riceve alcuna istruzione da parte del titolare o del responsabile del trattamento, come modalità essenziali per garantirne l’autonomia di azione. Ciò non esime però titolare e responsabile del trattamento dal mettere a disposizione del DPO le risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in indipendenza, dei propri compiti.

Per saperne di più > Data Protection Officer (DPO): chi è, che cosa fa, perché serve