Chi può fare il DPO?

By | 15 febbraio 2017

Parlando della nomina del DPO  con molti dei miei clienti (strutture sanitarie pubbliche e/o private ed aziende del settore sanitario) è emerso che molti hanno l’intenzione di nominare come DPO il proprio responsabile interno di ICT.

A parer mio questa soluzione può rivelarsi non corretta.

L’art. 37 del RGDP  stabilisce infatti che

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

L’art. 39 a sua volta stabilisce che il DPO deve

informare e fornire consulenza …. in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

sorvegliare l’osservanza del presente regolamento nonchè,….. la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

L’art. 38 stabilisce che il DPO deve essere in una posizione di indipendenza (comma 3)  e non deve essere in una posizione di conflitto di interessi (comma 6).

Le FAQ allegato alle Linee guida del WP29 – WP243 Guidelines on Data Protection Officers (‘DPOs’) ANNEX FAQ al punto 3.3. titolato “Istruzioni e indipendenza della condotta” risponde alle seguente domanda

9. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? (art. 38, paragrafo 3)

Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:

–  nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;

–  nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;

–  nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.

A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT),……….

In sostanza il DPO deve:

  • avere conoscenza giuridiche nazionali, comunitarie e (se del caso) dei diversi paesi UE
  • sensibilizzare del personale
  • formare il personale
  • essere in posizione di indipendenza
  • non essere in posizione di conflitto di interessi

Alla luce di quanto sopra, è possibile che il manager IT aziendale non sia in grado di soddisfare tutti requisiti richiesti

Peraltro il 20 ottobre 2016 il Garante tedesco ha sanzionato una società che aveva nominato il proprio responsabile IT come DPO (figura già presente oggi in Germania) in ragione del fatto che lo stesso, per i ruoli rivestiti n azienda, si trovava in posizione di conflitto di interessi.

Forse occorre cominciare a pensare che il DPO – come l’ODV della 231/2001 – può essere un soggetto giudico esterno che vanti al suo interno diverse competenze (legali, informatiche, di audit)

Tale  possibilità è peraltro pacificamente ammessa anche dalla Linee Guida del WP29 al punto 2.4.

5 thoughts on “Chi può fare il DPO?

  1. paolo calvi

    su questo punto continuano ad esserci fraintendimenti, anche se è uno dei pochi punti su cui GDPR e linee guida del WP29 sono di una chiarezza cristallina. il DPO interno potrà essere cumulato sì con altre figure, ma NON con ruoli che abbiano incarichi operativi e che concorrano a determinare ed applicare ad esempio le misure di sicurezza. questo è sicuramente il caso dell’IT manager, per cui appare chiaro che sia da escludere un cumulo con tale carica. la sanzione tedesca dovrebbe essere un argomento valido, speriamo che passi il messaggio…

  2. silvia stefanelli Post author

    ..e invece tutti pensano di nominare l’IT manager….
    sono tutti convinti che sia la soluzione migliore (e più facile..)

    sulle decisioen tedesca ho trovato solo articoli di commento in inglese
    non riesco a sapere se è stata impugnata oppure no..
    qualcuno ha notizie?

  3. riccardo.abeti

    Il problema che continua a non essere risolto è la reale indipendenza di un soggetto che, anche qualora fosse inteso in modo analogo all’OdV di cui al d.lgs 231/2001, spesso non è davvero indipendente … figurarsi quanto potrebbe essere “indipendente” l’IT manager …

  4. frantavo

    Come al solito il problema è legato al fatto che aziende e pubbliche amministrazioni, un pò per cultura e un pò per taglio ai costi cercano di individuare questa figura fra i dipendenti esistenti. In ogni caso, parlando di indipendenza nei confronti del Titolare del trattamento (inteso come datore di lavoro), un dipendente non avrà mai indipendenza (ad esempio le mansioni chi le definisce? ecc.. ).
    Quindi la scelta di individuare un soggetto esterno (che dovrà essere competente) come DPO è molto conveniente.
    Subentra però un problema: Individuare un soggetto esterno costa!!
    Quindi, a meno che la Direzione non sia molto sensibile sull’argomento, è difficile che venga individuato un soggetto esterno come DPO. In tal caso come poter limitare i rischi? Avete suggerimenti?

Lascia un commento