In data 28 aprile 2020, l’Autorità belga per la protezione dei dati personali (l’”Autorità Garante Belga” o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”).

Normativa di riferimento applicabile al DPO

Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto di interessi del DPO.

Posizione del DPO: criticità rilevate

Nel caso in esame, l’Autorità Garante Belga ha rilevato, in primis, che il DPO dell’Azienda non fosse sufficientemente coinvolto nelle discussioni in merito ad eventuali violazioni dei dati personali subite dall’Azienda, come richiesto dall’art. 38, co. 1, del GDPR. In aggiunta, l’Autorità Garante Belga ha rilevato – risultando questo secondo aspetto un tema di maggior interesse – che il DPO non si trovasse in una posizione sufficientemente libera da conflitti di interesse, come richiesto dall’art. 38, co. 6, del GDPR, in quanto lo stesso svolgeva anche la funzione di responsabile dei dipartimenti di compliance, risk management e internal audit dell’Azienda convenuta.

  1. Coinvolgimento del DPO

Con riferimento agli aspetti relativi al coinvolgimento del DPO nelle tematiche inerenti la protezione dei dati personali, a seguito dell’attività di ispezione condotta dall’Autorità Garante Belga, quest’ultima ha contestato le argomentazioni dell’Azienda, la quale, nelle sue memorie difensive, aveva sostenuto che l’art. 38, co. 1 del GDPR non imponesse un obbligo specifico di consultazione del DPO, quanto un più generale impegno a informare lo stesso al fine di garantirne il coinvolgimento richiesto per legge.

In particolare, l’Autorità ha precisato che la posizione dell’Azienda non fosse in linea con la ratio legis e che la stessa non costituisse un’interpretazione corretta dell’art. 38, co.1 del GDPR, il quale prevede che il DPO “sia debitamente e tempestivamente coinvolto in tutte le questioni relative alla protezione dei dati personali“. Alla luce della previsione normativa, riducendo il coinvolgimento del DPO ad una mera informazione (ex post) in merito a una decisione assunta, la sua funzione risulta così erosa.

Nel giungere a tale conclusione, l’Autorità ha richiamato gli orientamenti del Gruppo di Lavoro Articolo 29 previsti nelle Linee guida sui responsabili della protezione dei dati (“Linee Guida”), che sottolineano l’importanza di una consultazione immediata e sistematica della figura del DPO in tutte le questioni relative alla protezione dei dati al fine di garantire la conformità dei trattamenti al GDPR, in particolare il rispetto del principio di “privacy by design” di cui all’art. 25 del GDPR, tale da rendere la consultazione del DPO una procedura standard all’interno della gestione dell’organizzazione aziendale.

Nel caso di specie, tuttavia, l’Autorità Garante Belga ha dichiarato che – con riferimento al processo di valutazione del rischio – erano state fornite prove sufficienti atte a dimostrare un effettivo coinvolgimento del DPO o lo svolgimento da parte dello stesso di un’analisi indipendente del rischio per la privacy e antecedente rispetto alla decisione finale sul rischio da parte dell’Azienda, risultando in tal senso fornita idonea consulenza e assistenza all’Azienda da parte del DPO nel rispetto dell’art. 39, co. 1 lett. a) del GDPR.

Ferma restando l’erronea interpretazione dell’art. 38, co 1 del GDPR da parte dell’Azienda, l’Autorità non ha tuttavia potuto stabilire se vi fosse stata una violazione dell’articolo richiamato, in quanto era lecito ritenere che nella pratica l’Azienda garantisse un idoneo coinvolgimento del DPO.

  1. Conflitto di interessi del DPO

Quanto al secondo aspetto, dall’attività ispettiva dell’Autorità Garante Belga sono emerse diverse osservazioni e criticità relativamente alla sussistenza di un possibile conflitto di interessi in capo al DPO dell’Azienda, dal momento che, dall’analisi condotta, l’Autorità ha rilevato che il DPO non godesse dell’indipendenza e dell’autonomia necessaria per l’espletamento delle sue funzioni.

In particolare, nello svolgimento dell’attività ispettiva l’Autorità ha rilevato che:

  1. il DPO svolgeva compiti contrastanti rispetto alle funzioni che la persona fisica ricopriva. Nelle memorie difensive l’Azienda precisava che il DPO – nell’esercizio delle ulteriori funzioni aziendali – svolgesse solo un ruolo consultivo, il quale non contemplava la possibilità per lo stesso di assumere decisioni in merito a scopi e/o mezzi del trattamento, richiamando quanto previsto dalle Linee Guida. L’Autorità sul punto ha precisato che la sussistenza di un conflitto di interessi va sempre rilevato caso per caso e non si limita ai casi in cui una persona determina le finalità e i mezzi del trattamento. Nel caso di specie, risultava, infatti, che il DPO svolgesse anche ruoli che comportavano una significativa responsabilità operativa per i processi di elaborazione dei dati trattati nello svolgimento delle sue funzioni di responsabile dei dipartimenti di compliance, risk management e internal audit;
  2. l’Azienda non aveva predisposto politiche interne idonee a prevenire eventuali conflitti di interesse e i documenti prodotti non erano stato in grado di dimostrare in modo sufficiente l’indipendenza del DPO.

La decisione assunta dall’Autorità Garante Belga risulta fondata, in particolare, sulle seguenti argomentazioni, di seguito meglio analizzate:

  • la possibilità che al DPO fossero attribuiti poteri decisionali in altri dipartimenti dell’Azienda di cui era a responsabile, con particolare rilievo per il ruolo di responsabile del dipartimento di internal audit;
  • la facoltà per il DPO di stabilire le modalità e le finalità del trattamento nell’ambito delle attività svolte dagli ulteriori dipartimenti dell’Azienda nel quale il DPO ricorpiva la funzione di responsabile;
  • l’assenza di regole e linee guida adottate a livello aziendale finalizzate a individuare e dirimere possibili conflitti di interesse tra le varie cariche ricoperte dal DPO.

Con riferimento alla prima argomentazione, sebbene l’Azienda avesse sostenuto che il DPO, nell’ambito delle sue ulteriori funzioni di responsabile dei dipartimenti richiamati, ricoprisse solo un ruolo consultivo e non anche decisionale, l’Autorità si è soffermata in particolare sulla compatibilità della carica di DPO con quella di responsabile del dipartimento di internal audit.

In particolare, l’Autorità ha esaminato l’influenza che il DPO avrebbe potuto avere nei processi decisionali del dipartimento specifico, ove tale influenza fosse finalizzata alla valutazione della performance lavorativa di un dipendente, con la possibilità, in caso di performance negativa, di procedere al licenziamento dello stesso.  In tale processo, l’Autorità ha ritenuto essenziale comprendere se il DPO avesse anche un potere decisionale in merito alla possibilità di un eventuale licenziamento di un dipendente.

Nel caso di specie, sebbene l’Azienda avesse tentato di dimostrare che non vi fosse alcuna incompatibilità tra le funzioni esaminate in quanto il DPO, nell’esercizio della sua funzione di responsabile del dipartimento di internal audit, non prendeva e né riesaminava le decisioni riguardanti i dipendenti, l’Autorità Garante Belga  ha sottolineato la differenza sostanziale tra la mera analisi dei processi e l’attività di internal auditing finalizzata alla valutazione della performance lavorativa dei dipendenti. Quest’ultima, infatti, a parere dell’Autorità, risulta in contrasto con la posizione di fiducia ricoperta dal DPO all’interno del contesto aziendale: infatti, secondo le norme del GDPR, il DPO dovrebbe essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali interne alla realtà aziendale, nonché fungere da punto di contatto per gli interessati che, talvolta, possono essere gli stessi dipendenti. Alla luce di quanto sopra, tali funzioni risulterebbero compromesse, erodendo così il ruolo che il GDPR assegna al DPO.

Con riferimento alla seconda argomentazione, l’Autorità Garante Belga ha sostenuto che, sebbene l’art. 38, co. 6 del GDPR preveda la possibilità per il DPO di svolgere anche altri compiti e funzioni all’interno dell’ente, è necessario che il titolare del trattamento assicuri che tali compiti e funzioni non diano adito a un conflitto di interessi.

Sul punto, l’Autorità ha richiamato le già menzionate Linee Guida, le quali affermano che l’assenza di un conflitto di interessi è strettamente legata alla necessità di operare in modo indipendente. Questo comporta, quindi, che il DPO non possa ricoprire, all’interno dell’organizzazione aziendale, un ruolo che gli consenta di determinare le modalità e le finalità del trattamento dei dati personali, in quanto tale compito è attribuito al titolare del trattamento. Secondo le predette Linee Guida alcuni esempi di eventuali conflitti di interesse all’interno dell’organizzazione aziendale sono rinvenibili nel caso in cui il DPO rivesta un ruolo di alta dirigenza (quali, amministratore delegato, direttore operativo, direttore finanziario, direttore sanitario, responsabile del marketing, responsabile delle risorse umane o responsabile IT).

Alla luce di quanto sopra e a seguito dell’attività ispettiva condotta dall’Autorità, la stessa ha riscontrato la sussistenza, in capo al DPO dell’Azienda, di poteri decisionali in merito alle modalità e alle finalità del trattamento svolti all’interno dei dipartimenti di compliance, risk management e internal audit, derivanti dalla circostanza che il DPO fosse anche il responsabile di tali dipartimenti.

L’Autorità ha ritenuto che sussistesse un conflitto di interessi essenziale in capo al DPO e che il ruolo di responsabile dei dipartimenti richiamati non fosse compatibile con quello di DPO, in quanto non idoneo a consentire allo stesso di svolgere le sue funzioni in modo autonomo e indipendente. Il cumulo della funzione di responsabile del trattamento dei dati per ciascuno dei tre dipartimenti interessati, da un lato, e della funzione di DPO, dall’altro, in capo alla stessa persona fisica, risulta comportare l’impossibilità per il DPO di effettuare un controllo indipendente su ciascuno dei tre dipartimenti. L’Autorità ha inoltre notato come tale conflitto di interessi potrebbe avere anche delle conseguenze negative sugli obblighi di segretezza e riservatezza del DPO in relazione all’adempimento del suo ruolo e nei confronti del personale dell’ente, come imposto dall’ art. 38 del GDPR.

Quanto all’ultima argomentazione, l’Autorità ha rilevato che l’assenza di regole e linee-guida interne volte a individuare e dirimere possibili conflitti di interessi non permettesse al DPO di svolgere in autonomia le proprie funzioni all’interno della struttura organizzativa aziendale in quanto l’Azienda aveva omesso di sviluppare (e documentare) siffatti meccanismi.

Conclusioni

L’Autorità Garante Belga ha quindi consigliato all’Azienda di rivalutare come e in che misura l’indipendenza del DPO fosse garantita in relazione a ciascuno dei tre dipartimenti coinvolti, in particolare alla luce del ruolo svolto dal DPO stesso, quale non mero membro del dipartimento, ma responsabile dello stesso.

Inoltre, in considerazione del fatto che il GDPR assegna un ruolo chiave al DPO conferendogli un ruolo informativo e consultivo anche nei riguardi del responsabile del trattamento dei dati con riferimento a tutte le questioni relative alla protezione dei dati personali, compresa la notifica di eventuali violazioni dei dati, l’Autorità ha imposto altresì una sanzione pecuniaria.

 

Il quantum della sanzione, ovvero 50 mila Euro, è stato calcolato tenendo in considerazione soprattutto il numero elevato di interessati. Sul punto l’Autorità ha precisato che l’adozione di misure non idonee a garantire la protezione dei dati personali degli interessati, quali la nomina di un DPO che non soddisfa i requisiti di indipendenza e che pertanto non può agire senza conflitti di interesse, può avere un impatto rilevante su un elevato numero di interessati Tutti gli elementi di cui sopra hanno giustificato l’adozione di una sanzione effettiva, proporzionata e dissuasiva, come previsto dall’art. 83, co. 2 del GDPR, tenendo conto dei criteri di valutazione ivi stabiliti.

 

Infine, come dichiarato dalla stessa Autorità, la sanzione pecuniaria nei confronti dell’Azienda non è stata comminata con l’intento di porre fine alla violazione, quanto piuttosto per far sì che le aziende possano riconsiderare i ruoli aziendali nel rispetto delle regole imposte dal GDPR, ivi inclusa l’indipendenza del DPO e la necessità di effettuare le opportune valutazioni circa l’esistenza di possibili conflitti di interesse, temi questi ultimi a cui talvolta non viene attribuita la corretta rilevanza nell’ambito delle scelte relative alla nomina del DPO.