La Corte di Giustizia dell’Unione Europea (CGUE), nel caso C-453/21, ha recentemente fornito un’interpretazione sostanziale delle norme, enfatizzando la necessità di una valutazione approfondita anziché meramente formale. La CGUE ha sottolineato l’importanza di un approccio caso per caso, tenendo conto del contesto e di tutte le circostanze rilevanti per determinare se vi sia un conflitto di interessi.
La responsabilità dell’organizzazione nel garantire che il Data Protection Officer (DPO) non si trovi in una posizione di conflitto di interessi è stata enfatizzata, incoraggiando il ricorso alle buone pratiche delineate nelle Linee guida sui responsabili della protezione dei dati WP243. Queste linee guida includono l’individuazione di qualifiche e funzioni incompatibili e la necessità di una dettagliata illustrazione dei casi di conflitto di interessi. Tuttavia, per tradurre queste direttive in pratica, è essenziale adottare criteri specifici che devono essere accuratamente documentati nel processo decisionale di designazione.
L’Autorità Garante per la protezione dei dati personali, con il provvedimento numero 363 del 31 agosto 2023, ha emesso una decisione su un caso in cui la funzione IT si è rivelata incompatibile con il ruolo di DPO di un Comune, emettendo un ammonimento. Questo caso è stato precedentemente richiamato nel Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico. La decisione del Garante conferma un approccio di valutazione e stabilisce criteri chiari.
La controversia
La controversia ha riguardato la violazione dell’articolo 38, paragrafo 6 del GDPR, poiché il Comune aveva designato un RPD in una posizione di conflitto di interessi, essendo anche il direttore amministrativo di una società partecipata. Nonostante le difese del Comune che affermavano l’autonomia formale e l’indipendenza del DPO, il Garante ha respinto questa interpretazione, considerando gli elementi di contesto emersi durante l’istruttoria.
Il Garante ha evidenziato che il conflitto di interessi era innegabile quando il DPO partecipava alle decisioni fondamentali sui trattamenti, specialmente considerando il suo ruolo di direttore amministrativo della società coinvolta. Inoltre, anche se il DPO non aveva funzioni manageriali, il suo status di dipendente sottoposto all’autorità del responsabile del trattamento lo metteva sotto il potere di istruzione, come definito dall’articolo 29 del GDPR. Questo diventava ancor più evidente data la responsabilità della società di fornire supporto per l’osservanza del GDPR, soggetta a istruzioni e controlli da parte del Comune.
Un’altra violazione contestata riguardava l’articolo 37 del GDPR, poiché il Comune aveva delegato al responsabile l’individuazione del DPO, che dovrebbe essere una prerogativa esclusiva del titolare. La clausola che consentiva al Comune di designare un DPO esterno è stata considerata suscettibile di interferire con l’autonomia decisionale del titolare, coinvolgendo un soggetto responsabile del trattamento nel processo decisionale.
Nonostante il potenziale impatto negativo della clausola, il Comune è riuscito a superare le contestazioni dimostrando autonomia decisionale nella nuova designazione del DPO dopo l’avvio dell’istruttoria. Tuttavia, la mancata comunicazione della variazione dei dati di contatto del DPO è stata confermata come violazione minore, risultando in un ammonimento da parte del Garante.
Conclusione
In conclusione, i criteri e l’approccio di valutazione delineati in questo caso possono essere utili per la designazione dei DPO, con l’auspicio che i titolari agiscano prontamente per evitare conflitti di interessi. Nel contesto degli enti pubblici, la vigilanza da parte dei cittadini attenti può innescare istruttorie e, se necessario, sanzioni, evidenziando l’importanza della trasparenza amministrativa.
