Written by 15:16 CorCom, Media

Gdpr, troppi Dpo in conflitto di interesse. L’outsourcing per garantire indipendenza

Rocco Panetta commenta la decisione del Garante Belga sulla definizione del DPO

GDPR

di Rocco Panetta

Con la decisione n. 18/2020, l’Autorità di controllo sulla protezione dei dati personali del Belgio (Apd) ha posto un nuovo ed importante tassello nella definizione della figura del Responsabile della Protezione dei dati personali, meglio noto come Data Protection Officer (Dpo), inserendosi a pieno titolo nel persistente dibattito sul Dpo interno o esterno.

Facendo seguito ad alcune ispezioni poste in essere per accertamenti successivi ad una violazione dei dati personali, l’Autorità belga ha analizzato alcuni elementi emersi circa la posizione del Dpo all’interno della società. Due sono stati gli elementi portanti dell’analisi e dunque del provvedimento: la presunta violazione dell’art. 38.1 del Gdpr, in quanto era emerso che il Data Protection Officer non fosse coinvolto by-default in tutti i processi che avevano ad oggetto il trattamento di dati personali; e la presunta violazione dell’art. 38.6 Gdpr, alla luce dei molteplici ruoli ricoperti, all’interno della società titolare del trattamento, dallo stesso soggetto nominato Dpo, cioè di capo dei dipartimenti di Compliance, Risk management e Audit.

Circa il primo punto, l’Autorità non ha perso occasione di ribadire un obbligo di legge essenziale: il coinvolgimento del Dpo è parte fondamentale dello schema operativo di valutazione delle operazioni di trattamento da parte del titolare. Tuttavia, è bene sottolineare che tale centralità del ruolo del Responsabile della Protezione dei Dati non mina, in alcun modo, il ruolo naturale del titolare, motore immobile iniziale e finale della vicenda del trattamento dei dati. Infatti, per quanto sia da considerarsi tra gli elementi, ex art. 25 Gdpr, della privacy-by-design nei processi di business, la consulenza del Dpo resa ai sensi dell’art. 39.1(a) Gdpr non è mai idonea a strutturare, approntare, autorizzare alcuna scelta relativa al trattamento, che resta sempre opzione nelle mani del titolare, che può assumere decisioni (ad esempio, in relazione al risk assessment) anche diametralmente opposte a quelle suggerite dal Dpo, motivandole adeguatamente, anche per integrare gli obblighi di accountability, e rendendone comunque edotto il Dpo

Continua a leggere l’articolo su CorCom.

Close