DPO e conflitto di interessi: sanzione in Germania
10 Ottobre 2022
Il Garante Privacy tedesco ha sanzionato un’azienda berlinese per aver nominato DPO, di una filiale del proprio gruppo e-commerce, un soggetto che rivestiva anche il ruolo di amministratore delegato di altre due società di servizi. La violazione, riscontrata nel 2021 che aveva portato ad un ammonimento, è stata ora, sanzionata con una multa pari a 525 mila euro.
Dalla lettura del provvedimento del Garante si deduce come il medesimo soggetto, in veste di DPO, monitorasse il rispetto della normativa europea in tema di protezione dei dati personali e, come amministratore delegato, assumesse decisioni aziendali tipiche di un manager.
Ancora oggi, le aziende hanno difficoltà nel comprendere chi può assumere la funzione di DPO e le qualifiche che deve possedere. Il Regolamento Europeo 679/2916 e le Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato – Garante Privacy, ammettono la possibilità di nominare come DPO un soggetto che ricopre altre funzioni all’interno dell’organizzazione (art. 38.6 GDPR) – come nel caso specifico – , senza, però, scontrarsi con i requisiti di indipendenza e autonomia.