Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-07-06T10:21:14+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

Manuale RPD

2019-10-03T23:03:38+02:0002 Ott 2019|Tag: |

Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea

Il TAR conferma il profilo eminentemente giuridico del DPO

2019-05-03T14:26:04+02:0030 Set 2018|Categorie: Articolo|Tag: |

Con la sentenza n. 287 del 13/09/2018 il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è espresso sui requisiti che il Responsabile della Protezione dei dati personali (ormai noto anche come Data Protection Officer o “DPO”) – ovvero la nuova figura prevista dall’art. 37 del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (comunemente denominato anche “GDPR”) – deve possedere per poter partecipare ai processi d selezione indetti dalle pubbliche amministrazioni. In particolare, il TAR ha accolto l’impugnazione del ricorrente che contestava l’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura di selezione. In primo luogo, il Tribunale amministrativo ha sostenuto che la suddetta non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di DPO ai sensi del GDPR, dovendosi altresì considerare che la norma ISO 27001 si applica principalmente con riferimento all’attività di impresa. In secondo luogo ha precisato che la medesima norma, “per quanto possa essere potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; [...]