Le modalità di scelta del responsabile della protezione...

Le modalità di scelta del responsabile della protezione dei dati personali

Questa sentenza ha attirato la mia attenzione, perché, esaminando il foglio di informazione di un laboratorio di analisi chimiche in Modena, ho rilevato, con stupore, il fatto che il responsabile del trattamento ed il responsabile della protezione dati personali fosse lo stesso soggetto!

Giunge a proposito, su questo delicato tema, una recente sentenza della corte di giustizia europea, che riporto in allegato per due motivi:

perché offre preziose indicazioni sulle modalità di scelta del responsabile della protezione dei dati,
perché è già disponibile in lingua italiana.

La corte approfondisce il tema, già impostato nell’articolo 38 del GDPR, circa il fatto che il responsabile della protezione dei dati deve essere una posizione tale da poter svolgere la sua attività in modo autonomo, ed in particolare non può assolutamente toccare al DPO di individuare gli obiettivi e le modalità di trattamento dei dati personali, in quanto questa responsabilità è integralmente ed esclusivamente affidata al titolare del trattamento e ad eventuali responsabili del trattamento.

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf

Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

La scarsità di questi profili professionali, a livello europeo, particolarmente in Italia, fa sì che spesso il titolare del trattamento, che deve o vuole designare un responsabile della protezione dei dati, si trovi in difficoltà nell’individuare un soggetto con le appropriate referenze e conoscenze.

Ecco la ragione per la quale la corte di giustizia europea afferma, con chiarezza e fermezza, che il ruolo del DPO deve essere correttamente configurato e le responsabilità che gli competono devono essere chiaramente evidenziate.

Il timore di un conflitto di interessi può snaturare la ragione stessa della individuazione del DPO, che potrebbe non essere in grado di svolgere il suo ruolo di monitoraggio dell’attività di trattamento con l’appropriato livello di indipendenza.

Ricordo ai lettori che il ruolo del DPO non è un ruolo on line, nell’organigramma aziendale, ma è un ruolo a latere, con funzione di monitoraggio, suggerimento e controllo, ma senza nulla togliere alle responsabilità finale del titolare e del responsabile del trattamento.

La corte di giustizia europea è stata chiamata a pronunziarsi da parte del tribunale federale del lavoro della Germania, con riferimento ad una contestazione lavorativa fra il titolare di un’azienda e il suo DPO.

Il DPO era stato assunto dall’azienda prima dell’entrata in vigore del nuovo regolamento e aveva svolto un ruolo dirigente dell’azienda stessa. Quando, nel maggio 2018, anche in Germania il GDPR divenne legge, l’azienda decise di licenziare il DPO, citando un rischio di conflitto di interessi tra il ruolo dirigente precedente e il ruolo di DPO.

La faccenda era particolarmente delicata, perché i lettori ricordano che l’articolo 38 del GDPR prevede che il DPO non possa essere licenziato o penalizzato per aver svolto le attività che gli competono.

Questo è stata la situazione, portata all’attenzione della corte di giustizia europea, che doveva appunto valutare se la protezione contro il licenziamento di un DPO fosse dominante, rispetto a un potenziale conflitto di interessi del DPO stesso, nei confronti dell’azienda dove svolgeva la sua attività.

La corte ha concluso, come i lettori potranno leggere nella sentenza, che quando il DPO non può più svolgere le sue attività in completa indipendenza, per la presenza di un conflitto di interessi, anche potenziale, il suo allontanamento non contrasta con le indicazioni dell’articolo 38.

Allegata sentenza della corte di giustizia europea (PDF)

Adalberto Biasiotti