La pubblica autorità ribadisce l’indipendenza del ruolo del DPO in un recente provvedimento
Il ruolo di Responsabile della protezione dati o Data Protection Officer (DPO) è incompatibile con quello di legale rappresentante della società.
A ormai sette anni dall’introduzione del GDPR ci troviamo di fronte a un provvedimento il cui cuore pulsante è la designazione del DPO. Una società creditizia, infatti, dopo numerose segnalazioni alla Banca d’Italia, è finita sotto la lente di ingrandimento del Garante che, con l’ausilio del nucleo speciale della Guardia di Finanza, ha ravvisato numerose incongruenze con il Regolamento Europeo sulla protezione dei dati. In particolare, oltre ad aver trovato mancanze per quanto riguarda la data retention (ovvero il periodo di conservazione - che va limitato nel tempo) nonché relativamente alla trasparenza e alla segmentazione dell’acquisizione delle banche dati in questione, il nodo centrale del provvedimento rimane l’individuazione della figura di responsabile della protezione dei dati.
Il Data Protection Officer (DPO) tra le sue principali funzioni ha quelle di sorvegliare e vigilare l'applicazione delle normative sulla protezione dei dati all'interno di un'organizzazione, informare e consigliare l'organizzazione sui suoi obblighi in materia di protezione dei dati, funzionare da punto di contatto per le autorità di controllo e per le persone i cui dati personali vengono trattati.
Il Data Protection Officer (DPO) secondo l’art. 37 del GDPR
Di per sé dovrebbe essere chiaro, se si legge attentamente l’art. 37 del GDPR, che tale figura debba essere del tutto indipendente senza conflitto di interessi nella sua attività di assistenza al titolare o responsabile del trattamento in ottemperanza delle norme privacy in virtù anche del principio di accountability. Se si legge il citato articolo si capisce indubbiamente come non ci può essere un’assimilazione delle figure di legale rappresentante e responsabile della protezione dei dati. Il Data Protection Officer (DPO) può essere sì interno alla società se non si opta per una figura esterna, ma pur sempre indipendente nelle sue funzioni di “watchdog” dei principi normativi.
Questo emerge dall’attività istruttoria della pubblica autorità scaturita in provvedimento citati dalla Newsletter periodica del Garante per la Protezione del Dati Personali dello scorso 28 febbraio. Ancora una volta si denota una scarsa sensibilità per una materia importante nelle aziende e tante volte non contemplata, ahimè, come un valore aggiunto per le proprie realtà.
Il Data Protection Officer (DPO) nella realtà dei fatti
Più volte, anche precedentemente, abbiamo sottolineato come la privacy, se affrontata e approcciata nel modo giusto, è essere un asset seppur intangibile per le aziende. E così, a distanza di tempo, ci troviamo ancora a discutere e a veder pubblicate questioni che dovrebbero essere metabolizzate da tempo, almeno a livello di buona prassi di compliance aziendale.
Oltre alla questione del DPO (centrale), nonché della data retention e della trasparenza di acquisizione delle banche dati, la società creditizia è stata trovata lacunosa anche nella nomina di fornitori responsabili esterni del trattamento ai sensi dell’art. 28 co. 4 del GDPR. Tale nomina è un essenziale addendum contrattuale per chiunque tratti i dati per conto del titolare del trattamento, e anche a tal riguardo va prestata la massima attenzione.
In conclusione il Garante, dopo aver prescritto le opportune misure correttive (pur in assenza di precedenti specifici), ha sanzionato la società per 70.000 €, tenendo conto della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa. In particolare, ci preme sottolineare questo ultimo punto: la poca collaborazione. La collaborazione è essenziale nell’approccio da parte delle aziende in una attività ispettiva per mettere al riparo da sanzioni ancora più salate che possono ammontare anche a cifre superiori rispetto ai 70.000 € comminati alla società creditizia.
