In data 28 aprile 2020, l’Autorità belga per la protezione dei dati personali (l’”Autorità Garante Belga” o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”).
La decisione 18/2020 sottolinea come sussista un evidente conflitto d'interesse fra Ufficio compliance, Risk management e Audit e il ruolo di DPO.
Gli ambiti critici secondo il garante belga sono due:
1. Coinvolgimento nel processo decisionale: su temi quali indagini interne e audit per fare un esempio, le decisioni su finalità e mezzi del trattamento dei dati verranno presi in conformità al GDPR o ad altre normative? (Conflitto d'interesse - art. 38.6 GDPR).
2. Mancanza di segretezza e riservatezza nei confronti dei membri del personale portando a una violazione dell'art. 38.5 GDPR
Con riferimento agli aspetti relativi al coinvolgimento del DPO nelle tematiche inerenti la protezione dei dati personali, a seguito dell’attività di ispezione condotta dall’Autorità Garante Belga, quest’ultima ha contestato le argomentazioni dell’Azienda, la quale, nelle sue memorie difensive, aveva sostenuto che l’art. 38, co. 1 del GDPR non imponesse un obbligo specifico di consultazione del DPO, quanto un più generale impegno a informare lo stesso al fine di garantirne il coinvolgimento richiesto per legge.
In particolare, l’Autorità ha precisato che la posizione dell’Azienda non fosse in linea con la ratio legis e che la stessa non costituisse un’interpretazione corretta dell’art. 38, co.1 del GDPR, il quale prevede che il DPO “sia debitamente e tempestivamente coinvolto in tutte le questioni relative alla protezione dei dati personali“. Alla luce della previsione normativa, riducendo il coinvolgimento del DPO ad una mera informazione (ex post) in merito a una decisione assunta, la sua funzione risulta così erosa.
Nel giungere a tale conclusione, l’Autorità ha richiamato gli orientamenti del Gruppo di Lavoro Articolo 29 previsti nelle Linee guida sui responsabili della protezione dei dati (“Linee Guida”), che sottolineano l’importanza di una consultazione immediata e sistematica della figura del DPO in tutte le questioni relative alla protezione dei dati al fine di garantire la conformità dei trattamenti al GDPR, in particolare il rispetto del principio di “privacy by design” di cui all’art. 25 del GDPR, tale da rendere la consultazione del DPO una procedura standard all’interno della gestione dell’organizzazione aziendale.
Nel caso di specie, tuttavia, l’Autorità Garante Belga ha dichiarato che – con riferimento al processo di valutazione del rischio – erano state fornite prove sufficienti atte a dimostrare un effettivo coinvolgimento del DPO o lo svolgimento da parte dello stesso di un’analisi indipendente del rischio per la privacy e antecedente rispetto alla decisione finale sul rischio da parte dell’Azienda, risultando in tal senso fornita idonea consulenza e assistenza all’Azienda da parte del DPO nel rispetto dell’art. 39, co. 1 lett. a) del GDPR.
Ferma restando l’erronea interpretazione dell’art. 38, co 1 del GDPR da parte dell’Azienda, l’Autorità non ha tuttavia potuto stabilire se vi fosse stata una violazione dell’articolo richiamato, in quanto era lecito ritenere che nella pratica l’Azienda garantisse un idoneo coinvolgimento del DPO.
Quanto al secondo aspetto, dall’attività ispettiva dell’Autorità Garante Belga sono emerse diverse osservazioni e criticità relativamente alla sussistenza di un possibile conflitto di interessi in capo al DPO dell’Azienda, dal momento che, dall’analisi condotta, l’Autorità ha rilevato che il DPO non godesse dell’indipendenza e dell’autonomia necessaria per l’espletamento delle sue funzioni.
In particolare, nello svolgimento dell’attività ispettiva l’Autorità ha rilevato che:
il DPO svolgeva compiti contrastanti rispetto alle funzioni che la persona fisica ricopriva. Nelle memorie difensive l’Azienda precisava che il DPO – nell’esercizio delle ulteriori funzioni aziendali – svolgesse solo un ruolo consultivo, il quale non contemplava la possibilità per lo stesso di assumere decisioni in merito a scopi e/o mezzi del trattamento, richiamando quanto previsto dalle Linee Guida. L’Autorità sul punto ha precisato che la sussistenza di un conflitto di interessi va sempre rilevato caso per caso e non si limita ai casi in cui una persona determina le finalità e i mezzi del trattamento.
Nel caso di specie, risultava, infatti, che il DPO svolgesse anche ruoli che comportavano una significativa responsabilità operativa per i processi di elaborazione dei dati trattati nello svolgimento delle sue funzioni di responsabile dei dipartimenti di compliance, risk management e internal audit;
l’Azienda non aveva predisposto politiche interne idonee a prevenire eventuali conflitti di interesse e i documenti prodotti non erano stato in grado di dimostrare in modo sufficiente l’indipendenza del DPO.
L’Autorità Garante Belga ha quindi consigliato all’Azienda di rivalutare come e in che misura l’indipendenza del DPO fosse garantita in relazione a ciascuno dei tre dipartimenti coinvolti, in particolare alla luce del ruolo svolto dal DPO stesso, quale non mero membro del dipartimento, ma responsabile dello stesso.
Inoltre, in considerazione del fatto che il GDPR assegna un ruolo chiave al DPO conferendogli un ruolo informativo e consultivo anche nei riguardi del responsabile del trattamento dei dati con riferimento a tutte le questioni relative alla protezione dei dati personali, compresa la notifica di eventuali violazioni dei dati, l’Autorità ha imposto altresì una sanzione pecuniaria.
Il quantum della sanzione, ovvero 50 mila Euro, è stato calcolato tenendo in considerazione soprattutto il numero elevato di interessati. Sul punto l’Autorità ha precisato che l’adozione di misure non idonee a garantire la protezione dei dati personali degli interessati, quali la nomina di un DPO che non soddisfa i requisiti di indipendenza e che pertanto non può agire senza conflitti di interesse, può avere un impatto rilevante su un elevato numero di interessati Tutti gli elementi di cui sopra hanno giustificato l’adozione di una sanzione effettiva, proporzionata e dissuasiva, come previsto dall’art. 83, co. 2 del GDPR, tenendo conto dei criteri di valutazione ivi stabiliti.
Infine, come dichiarato dalla stessa Autorità, la sanzione pecuniaria nei confronti dell’Azienda non è stata comminata con l’intento di porre fine alla violazione, quanto piuttosto per far sì che le aziende possano riconsiderare i ruoli aziendali nel rispetto delle regole imposte dal GDPR, ivi inclusa l’indipendenza del DPO e la necessità di effettuare le opportune valutazioni circa l’esistenza di possibili conflitti di interesse, temi questi ultimi a cui talvolta non viene attribuita la corretta rilevanza nell’ambito delle scelte relative alla nomina del DPO.
