Il Garante privacy ha emesso una ordinanza sul conflitto di interessi nelle attività del DPO che può diventare un punto di riferimento per la definizione del modello organizzativo privacy delle aziende.
Un cittadino aveva presentato un reclamo al Garante privacy per il trattamento illecito dei dati da parte di un Comune nelle condotte che hanno dato vita ad una sanzione contro il reclamante per l’abbandono di rifiuti urbani sulla base di immagini estrapolate dai sistemi di video sorveglianza installati dal Comune. Il reclamante contestava molteplici violazioni tra cui l’assenza di un’informativa conforme agli articoli 13 e 14 del GDPR e il superamento della conservazione dei dati oltre il periodo consentito. Nella decisione del Garante privacy, inoltre, viene evidenziato che i compiti e le funzioni svolte dal Data Protection Officer (DPO) in veste di legale della controparte davano adito ad un conflitto di interessi.
Il Comune resisteva sostenendo che i filmati e le immagini raccolte attraverso il sistema di videosorveglianza potevano essere conservate per un termine superiore a sette giorni in quanto si applicherebbe la Direttiva europea 2016/680, la quale determina periodi di conservazione diversi a seconda della fattispecie di reato. Sul punto, negli scritti difensivi presentati dal Comune, si legge che la finalità del trattamento avviene esclusivamente per l’accertamento dei reati di abbandono di rifiuti e che sussiste un termine di 90 giorni per impugnare la sanzione amministrativa di cui sopra che giustificherebbe, così, la conservazione dei dati per un periodo superiore a quello ordinariamente previsto. Rispetto all’omissione dell’informativa, invece, l’ente si difendeva giustificando tale mancanza in base al fatto che le fototrappole installate fossero state installate dagli agenti di polizia giudiziaria nell’espletamento delle relative funzioni.
Il Garante Privacy ha ritenuto che la mancanza di conformità sugli obblighi informativi di cui l’articolo 13 e 14 del GDPR non possono essere giustificati dall’attività compiuta dalla Polizia locale sull’accertamento di violazioni amministrative, dal momento che queste non rientrano invece in quelle attività di polizia giudiziaria e pubblica sicurezza. Parimenti, il Comune, in qualità di titolare del trattamento, avrebbe dovuto determinare un periodo di conservazione dei dati che non fosse più lungo di quanto necessario per il perseguimento delle finalità per cui sono stati raccolti.
Infine, il Garante privacy ricorda che, ferma restando l’obbligatorietà per l’ente pubblico di nominare un DPO, il titolare del trattamento (in questo caso il Comune) si deve assicurare che i compiti e le funzioni svolte dal primo non diano adito a conflitto di interesse. L’autorità ricorda come l’European Data Protection Board (EDPB), nelle sue “Linee guida sui responsabili della protezione dei dati” del 2016, stabilisce espressamente che “può insorgere un conflitto di interessi se, per esempio, a un DPO esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati”.
Nel caso di specie, infatti, il Comune aveva nominato RPD il proprio difensore nei tre giudizi incardinati dal ricorrente. Non convince altresì la tesi secondo cui i ricorsi fossero inammissibili per difetto di giurisdizione, atteso che il Comune non poteva conoscere l’esito del giudizio, ben potendo invece immaginare che il giudice avrebbe potuto pronunciarsi su questioni di merito. Il conflitto, afferma il Garante privacy, risiede nel fatto che il RPD, in qualità di legale del Comune, aveva tutto l’interesse a far sì che i ricorsi venissero rigettati, non potendo quindi svolgere pienamente la sua funzione senza pregiudicare la sua posizione processuale e gli interessi del Comune. Inoltre, il reclamante non avrebbe nemmeno potuto rivolgersi al DPO stante la mancanza di imparzialità data dal ruolo che rivestiva e, come ha sottolineato il Garante Privacy, “la circostanza che questo sia contemporaneamente anche il difensore in giudizio dell’ente, mina la sua indipendenza”.
Si tratta del primo provvedimento del Garante sul corretto posizionamento del DPO dall’entrata in vigore del GDPR. Sebbene si riferisca ad uno scenario molto specifico, fa riferimento a principi applicabili anche nel caso in cui il DPO sia un dipendente della società. Spesso riscontriamo infatti dei casi in cui il DPO si trova in conflitto di interessi per la molteplicità di incarichi che gli vengono assegnati o per la persona a cui riportano nell’organizzazione aziendale.
Su un simile argomento può essere interessante l’articolo Sanzione GDPR da 405 milioni contro Instagram per illecito trattamento di dati di minori.