29 Set DPO IN CONFLITTO D’INTERESSI: MULTA DA MEZZO MILIONE DI EURO
Aver nominato un Data Protection Officer in conflitto di interessi è costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce.
In Germania, la nomina del responsabile della protezione dei dati (DPO) è in certi casi facoltativa, mentre in altri casi è obbligatoria, come ad esempio se l’azienda impiega almeno 20 persone costantemente addette a trattamenti automatizzati di dati personali, oppure quando rientra nelle prescrizioni dell’art. 37 del Regolamento UE 2016/679 (GDPR).
In ogni caso, i Data Protection Officer hanno l’importante compito di consigliare l’azienda sui compiti e gli obblighi in materia di protezione dei dati e anche di vigilare sul rispetto delle normative in materia, e in ragione dei compiti che gli sono attribuiti è necessario che il titolare del trattamento designi una persona che, oltre a possedere le competenze richieste, non sia soggetta ad alcun conflitto di interessi dovuto ad altri compiti, ed operi in modo indipendente senza ricevere istruzioni da nessuno, come previsto dall’articolo 38 del GDPR.
In certi casi, il conflitto di interesse potrebbe sussistere se, ad esempio, l’incarico fosse stato affidato a persone con posizioni dirigenziali nell’azienda, che prendono esse stesse decisioni significative in merito al trattamento dei dati personali. In sostanza, un DPO non dovrebbe mai svolgere il proprio compito controllando il suo stesso operato, e questa era esattamente la situazione del gruppo di e-commerce sanzionato dall’autorità berlinese.
Il DPO di una filiale del gruppo di e-commerce tedesco era infatti anche amministratore delegato di due società di servizi che trattavano dati personali per conto della società per la quale aveva il ruolo di Data Protection Officer. Le società a loro volta facevano parte del gruppo e si occupavano del servizio clienti e dell’esecuzione degli ordini. “Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell’ambito dell’elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato“, spiega il comunicato stampa dell’autorità.
In questa situazione, il garante berlinese aveva riscontrato un conflitto di interessi e quindi una violazione del GDPR già nel 2021, quando aveva formalmente avvertito il gruppo di e-commerce.
Tuttavia, a seguito di un altro controllo effettuato quest’anno l’autorità aveva riscontrato che la violazione era ancora in corso nonostante la diffida, e perciò ha deciso di infliggere la pesante sanzione, che allo stato attuale non è ancora definitiva. “Questa multa sottolinea l’importante ruolo dei responsabili della protezione dei dati all’interno dell’azienda. Un DPO non può da un lato monitorare il rispetto della legge sulla protezione dei dati e, dall’altro, avere voce in capitolo“, ha commentato Volker Brozio, capo ad interim dell’autorità di controllo tedesca. Tale autoregolamentazione contraddice la funzione stessa del Data Protection Officer, che dovrebbe essere un organismo indipendente
Nel determinare l’importo della sanzione di oltre mezzo milione di euro, sono stati presi in considerazione diversi fattori, incluso il fatturato del gruppo nell’esercizio precedente e l’importante ruolo del responsabile della protezione dei dati come persona di contatto per un gran numero di dipendenti e clienti. Inoltre, l’autorità ha tenuto conto anche del fatto che il responsabile della protezione dei dati è stato deliberatamente nominato per quasi un anno nonostante l’avvertimento ricevuto. D’altra parte, la collaborazione mostrata dall’azienda all’Autorità e il fatto che la violazione sia finalmente cessata durante il procedimento sanzionatorio, sono stati considerati come fattori attenuanti nel decidere l’ammontare.
Nel rendere noto il provvedimento, la BlnBDI ha ricordato alle aziende la necessità di verificare sempre l’eventuale presenza di conflitti di interesse in eventuali doppi ruoli ricoperti dal DPO al fine di evitare violazioni della protezione dei dati, e ciò vale in particolare quando vi sono responsabilità congiunte tra le società del gruppo.
fonte: federprivacy.org