E’ costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce aver nominato un Data Protection Officer – DPO/RPD – in conflitto di interessi.
I Data Protection Officer – DPO/RPD – hanno l’importante compito di consigliare l’azienda sui compiti e gli obblighi in materia di protezione dei dati personali e di vigilare sul rispetto delle normative in materia.
In ragione dei compiti che sono attribuiti al DPO, è necessario che il titolare del trattamento designi una persona che, oltre a possedere le competenze richieste, non sia soggetta ad alcun conflitto di interessi generato da altri compiti, ed operi in modo indipendente senza ricevere istruzioni da nessuno, come previsto dall’articolo 38 del GDPR n. 2016/679.
Il conflitto di interesse potrebbe sussistere se, ad esempio, l’incarico fosse affidato a persone con posizioni dirigenziali nell’azienda, che prendono esse stesse decisioni significative in merito al trattamento dei dati personali.
Un DPO, in sostanza, non dovrebbe mai svolgere il proprio compito controllando il suo stesso operato, e questa era la situazione del gruppo di e-commerce sanzionato dall’autorità berlinese.
Fonte Federprivacy