Con una decisione significativa, l’Autorità Garante per la protezione dei dati personali (il Garante) ha affrontato una questione critica relativa ai ruoli del responsabile della protezione dei dati (DPO) e del rappresentante legale all’interno delle organizzazioni che operano in Italia.
Il Garante ha concluso che la nomina della stessa persona sia come DPO che, come rappresentante legale di una società, costituisce un conflitto di interessi, in violazione del Regolamento generale sulla protezione dei dati (GDPR).
Comprendere i ruoli: DPO vs. rappresentante legale
Ai sensi del GDPR, il DPO è responsabile della supervisione delle strategie di protezione dei dati e della garanzia della conformità alle leggi in materia di protezione dei dati. È fondamentale che il DPO operi in modo indipendente, senza ricevere istruzioni relative all’esercizio delle sue funzioni, e che riferisca direttamente al massimo livello dirigenziale.
Al contrario, un rappresentante legale ai sensi della legge italiana è una persona fisica con poteri di rappresentanza di una società, come un amministratore della società che ricopre tipicamente una posizione di autorità all’interno dell’organizzazione e prende decisioni in merito alle finalità e ai mezzi del trattamento dei dati. Secondo il Garante, questo doppio ruolo compromette intrinsecamente l’indipendenza richiesta al DPO, in quanto la persona non può monitorare obiettivamente il rispetto delle leggi sulla protezione dei dati se è anche responsabile della determinazione delle attività di trattamento dei dati.
L’indagine del Garante ha inoltre rivelato che una società aveva nominato il proprio rappresentante legale come DPO senza darne comunicazione all’autorità, come previsto dall’articolo 37, paragrafo 7, del GDPR e richiesto anche se il DPO era stato notificato ad altre autorità di protezione dei dati dell’UE. Tale nomina violava diverse disposizioni del GDPR:
- Articolo 37, comma 6: Il DPO non deve ricoprire una posizione che comporti un conflitto di interessi.
- Articolo 38: il DPO deve svolgere le proprie funzioni in modo indipendente.
- Articolo 39: i compiti del DPO comprendono il controllo della conformità, che è compromesso se questi è anche il rappresentante legale.
Di conseguenza, il Garante ha inflitto all’azienda una sanzione di 70.000 euro per tali violazioni.
Implicazioni per le organizzazioni che operano in Italia
Questa decisione costituisce un monito fondamentale per le organizzazioni che operano in Italia affinché valutino attentamente la nomina dei propri DPO. Garantire che il DPO operi in modo indipendente e senza conflitti di interesse non è solo un requisito normativo, ma anche un elemento fondamentale per un’efficace governance della protezione dei dati.
Le organizzazioni devono evitare di assegnare il ruolo di DPO a persone che hanno potere decisionale sulle attività di trattamento dei dati, come i rappresentanti legali o altri dirigenti di alto livello. Dovrebbero invece nominare persone in grado di supervisionare in modo obiettivo la conformità alla protezione dei dati senza influenze indebite.
La decisione del Garante sottolinea l’importanza di mantenere chiari confini tra i ruoli all’interno di un’organizzazione per garantire l’integrità delle pratiche di protezione dei dati. Assicurando che il DPO operi in modo indipendente e libero da conflitti di interesse, le organizzazioni possono proteggere meglio i dati personali e rispettare gli stringenti requisiti previsti dal GDPR.
Su un argomento simile può essere d’interesse l’articolo ” Garante sanziona 4 enti locali per mancata comunicazione del DPO“
About the Author: Giulio Coraggio
