Le “Linee guida sui responsabili della protezione dei dati WP 243”, emanate in data 5 aprile 2017 dal Gruppo Art. 29, il gruppo di lavoro dei Garanti europei, l'autorità giuridica indipendente in tema di privacy UE, disciplinano espressamente i casi di “conflitto di interessi” come riportato alla pagina 17  del paragrafo 3.5 della guida.

Conflitto di interessi

“... un RPD - DPO - non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.”

Nelle Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) pubblicate dal Garante della privacy si conferma quanto stabilito dal Gruppo Art. 29, quando alla domanda:

Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi? Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

In conclusione il conflitto di interessi riguarda esclusivamente situazioni di vertice o di staff ricoperte all’interno dell’ente o impresa, pertanto, un fornitore esterno, quando non ha potere decisionale sul tipo, modalità e finalità del trattamento da effettuare, non si trova in nessuna situazione di conflitto di interesse nel ricoprire il ruolo di RPD-DPO

L’unica condizione è che il DPO, ai sensi dell’art. n. 37 del GDPR,  venga “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39” del Regolamento Europeo.   

Dott. Igino Addari

 

telegram
Per essere sempre aggiornato sugli adempimenti e le scadenze in materia di privacy, amministrazione digitale, trasparenza, anticorruzione, conservazione digitale, iscriviti al canale Actainfo Telegram .  https://t.me/actainfo