Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

Le modalità di scelta del responsabile della protezione dei dati personali

Le modalità di scelta del responsabile della protezione dei dati personali
Adalberto Biasiotti

Autore: Adalberto Biasiotti

Categoria: Privacy

15/02/2023

L’articolo 38 del GDPR offre alcune indicazioni sulle modalità con cui deve essere scelto il responsabile della protezione dei dati (DPO) e come deve essere identificata la sua posizione in ambito aziendale: un’importante sentenza.

Questa sentenza ha attirato la mia attenzione, perché, esaminando il foglio di informazione di un laboratorio di analisi chimiche in Modena, ho rilevato, con stupore, il fatto che il responsabile del trattamento ed il responsabile della protezione dati personali fosse lo stesso soggetto!

 

Giunge a proposito, su questo delicato tema, una recente sentenza della corte di giustizia europea, che riporto in allegato per due motivi:

  • perché offre preziose indicazioni sulle modalità di scelta del responsabile della protezione dei dati,
  • perché è già disponibile in lingua italiana.

 

La corte approfondisce il tema, già impostato nell’articolo 38 del GDPR, circa il fatto che il responsabile della protezione dei dati deve essere una posizione tale da poter svolgere la sua attività in modo autonomo, ed in particolare non può assolutamente toccare al DPO di individuare gli obiettivi e le modalità di trattamento dei dati personali, in quanto questa responsabilità è integralmente ed esclusivamente affidata al titolare del trattamento e ad eventuali responsabili del trattamento.


Pubblicità
La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

 

La scarsità di questi profili professionali, a livello europeo, particolarmente in Italia, fa sì che spesso il titolare del trattamento, che deve o vuole designare un responsabile della protezione dei dati, si trovi in difficoltà nell’individuare un soggetto con le appropriate referenze e conoscenze.

 

Ecco la ragione per la quale la corte di giustizia europea afferma, con chiarezza e fermezza, che il ruolo del DPO deve essere correttamente configurato e le responsabilità che gli competono devono essere chiaramente evidenziate.

 

Il timore di un conflitto di interessi può snaturare la ragione stessa della individuazione del DPO, che potrebbe non essere in grado di svolgere il suo ruolo di monitoraggio dell’attività di trattamento con l’appropriato livello di indipendenza.

 

Ricordo ai lettori che il ruolo del DPO non è un ruolo on line, nell’organigramma aziendale, ma è un ruolo a latere, con funzione di monitoraggio, suggerimento e controllo, ma senza nulla togliere alle responsabilità finale del titolare e del responsabile del trattamento.

 

La corte di giustizia europea è stata chiamata a pronunziarsi da parte del tribunale federale del lavoro della Germania, con riferimento ad una contestazione lavorativa fra il titolare di un’azienda e il suo DPO.

 

Il DPO era stato assunto dall’azienda prima dell’entrata in vigore del nuovo regolamento e aveva svolto un ruolo dirigente dell’azienda stessa. Quando, nel maggio 2018, anche in Germania il GDPR divenne legge, l’azienda decise di licenziare il DPO, citando un rischio di conflitto di interessi tra il ruolo dirigente precedente e il ruolo di DPO.

 

La faccenda era particolarmente delicata, perché i lettori ricordano che l’articolo 38 del GDPR prevede che il DPO non possa essere licenziato o penalizzato per aver svolto le attività che gli competono.

 

Questo è stata la situazione, portata all’attenzione della corte di giustizia europea, che doveva appunto valutare se la protezione contro il licenziamento di un DPO fosse dominante, rispetto a un potenziale conflitto di interessi del DPO stesso, nei confronti dell’azienda dove svolgeva la sua attività.

 

La corte ha concluso, come i lettori potranno leggere nella sentenza, che quando il DPO non può più svolgere le sue attività in completa indipendenza, per la presenza di un conflitto di interessi, anche potenziale, il suo allontanamento non contrasta con le indicazioni dell’articolo 38.

 

Allegata sentenza della corte di giustizia europea (PDF)

 

Adalberto Biasiotti





Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Ad oggi, nessun commento è ancora stato inserito.

Pubblica un commento

Banca Dati di PuntoSicuro


Altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!