
DPO esterno: quando è preferibile
8 Giugno 2022
La nomina del DPO
Il Responsabile della Protezione dei Dati (Data Protection Officer) è una figura chiave all’interno dell’organigramma privacy delle società che lo nominano, per obbligo o per scelta organizzativa interna, volta a garantire una miglior gestione della propria privacy governance.
Indipendentemente dalle ragioni che le muovono, le organizzazioni che scelgono di nominare un DPO, si trovano di fronte a una duplice possibilità: rivolgersi ad un soggetto esterno o affidare l’incarico a un membro del proprio organico aziendale.
Infatti, come disposto dal GDPR[1] e ribadito nelle FAQ del Garante Privacy sul RPD[2], tale ruolo può essere attribuito sia a un professionista esterno che a un dipendente del Titolare o del Responsabile del trattamento, purché non risulti in conflitto di interessi con il suo ruolo.
La nomina prevedrà la definizione di compiti, responsabilità, risorse e requisiti richiesti alla figura e sfocerà in un contratto, in caso di DPO esterno, oppure, in un atto di designazione in caso di dipendente o collaboratore interno.
I limiti di un DPO interno
Come già chiarito, il GDPR ammette la possibilità di nominare come DPO un soggetto che ricopre altre funzioni all’interno dell’organizzazione (art. 38.6 GDPR). Tuttavia, il requisito essenziale che si prevede in tale circostanza è che non vi sia conflitto di interessi tra i ruoli ricoperti dal soggetto nell’organizzazione; e, inoltre, il DPO deve trovarsi in una posizione tale da riferire direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento (art. 38.3 GDPR).
Ciò porta a restringere la cerchia di potenziali candidati al ruolo, escludendo coloro che rivestono posizioni apicali o che ricoprono specifiche funzioni (es. amministratore delegato; direttore generale; membro del CdA; responsabile IT, RSPP etc.), o ancora che hanno potere decisionale circa le finalità e le modalità di trattamento dei dati (es. direzione HR, direzione finance etc.)[3].
Potrebbe infatti verificarsi il caso in cui il soggetto interno, avendo a cuore gli interessi dell’azienda, scelga di subordinare la compliance alla normativa privacy al loro perseguimento, preferendo andare incontro alle necessità della propria organizzazione piuttosto che adeguarsi alle disposizioni in materia di trattamento dei dati personali.
Ruoli interni intermedi: la questione subordinazione
D’altra parte, anche coloro che ricoprono ruoli intermedi nell’organizzazione non necessariamente rispetteranno i requisiti previsti per la figura del DPO, in quanto potrebbero da un lato essere influenzati dalla loro posizione di subordinazione, e dall’altro, non vedersi riconoscere le risorse necessarie per svolgere le proprie attività.
In questo caso ad essere ulteriormente a rischio sarebbe il requisito di autonomia e indipendenza previsto in capo al DPO, in quanto un soggetto intermedio e subordinato al vertice dell’azienda potrebbe non godere delle libertà e dei poteri necessari per svolgere parallelamente anche il suo ruolo di Responsabile della protezione dei dati. Tale rischio potrebbe essere ulteriormente aggravato dall’eventualità che, a causa di scelte e attività intraprese legittimamente nel suo ruolo di DPO, il soggetto si veda infliggere qualche forma di ritorsione, contrariamente a quanto invece è previsto dall’art. 38.3 del GDPR.
Sottolineando il fatto che non vi debba in alcun modo essere conflitto di interessi e che il soggetto nominato debba operare in piena autonomia e indipendenza, i requisiti previsti dalle Linee Guida sul DPO[4] portano inevitabilmente a domandarsi se e in che modo si possa garantire che un soggetto interno all’organizzazione rispetti effettivamente tali principi, in ragione delle caratteristiche intrinseche al suo ruolo.
Il DPO esterno
Alla luce di quanto finora detto, conciliare le posizioni ricoperte dal medesimo individuo, da un lato nell’organigramma aziendale e dall’altro in quello privacy, non è per nulla semplice.
Il rischio di conflitto di interessi, di perdita di autonomia e indipendenza, o di ricevere ritorsioni, sono tutti fattori che spingono a chiedersi se non sia effettivamente meglio percorrere la strada alternativa, nominando, quindi, un DPO esterno.
Individuare una figura che non appartiene all’organizzazione scongiura il verificarsi dei suddetti casi di conflitti di interessi interni e di eventuali influenze da parte del vertice aziendale sull’operato del DPO.
Inoltre, per evitare l’eventualità in cui un soggetto esterno, al fine di vedersi rinnovare il mandato, ponga in essere delle condotte non conformi al suo ruolo, una soluzione potrebbe essere quella di stipulare contratti di più lunga durata con tali consulenti. Come ipotizzato dalla Commissione europea in una proposta di regolamento (poi non approvata), un contratto dovrebbe avere una durata almeno biennale per tutelare l’indipendenza e la coerenza nel tempo dell’attività del DPO.
Concludendo, la scelta di un DPO esterno, specializzato e competente in materia, rappresenta un vantaggio anche da un punto di vista delle qualità professionali che tale figura deve possedere per svolgere la sua funzione ai sensi dell’art 37 GDPR, le quali possono anche essere oggetto di certificazione.
Rivolgersi ad un collaboratore che ricopre professionalmente tale posizione, e che ha quindi anche maturato una certa esperienza in materia, solleva l’azienda dal doversi preoccupare di formare un proprio dipendente affinché acquisisca le competenze e le conoscenze necessarie per svolgere il ruolo di DPO, offrendo immediatamente un professionista capace su cui poter contare.
[1] Artt. 37 e 38 e c. 97 Regolamento Europeo 2016/679
[2] N. 5 Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato – Garante Privacy
[3] N. 8 Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato – Garante Privacy
[4] Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01) ARTICLE29 – Item (europa.eu)