data protection officer

Privacy: il ruolo del Data Protection Officer è incompatibile con quello di IT Manager

Una delle novità introdotte dal nuovo regolamento Ue in ambito Privacy è la figura del DPO Data Protection Officer. Massima attenzione però deve essere posta nell’attribuzione di questo incarico. Si rischiano pesanti multe per i doppi ruoli e i conflitti d’interessi.

Nel caso in cui la vostra organizzazione richieda la nomina di un DPO (vedi quali aziende lo debbono nominare) ed abbiate deciso di attribuirla ad un dipendente già responsabili di altre divisioni, dovrete assicurarvi che esso non ricopra funzioni inerenti la determinazione delle modalità e finalità del trattamento dei dati personali.

Il consiglio è quindi quello di evitare di coinvolgere in questa mansione i dependenti attivi nella vostra divisione IT, nelle Risorse Umane/Amministrazione del Personale, nell’Ufficio Legale, e nella Direzione Marketing.

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale.

La prima sanzione per conflitto d’interesse è già scattata in Germania dove in realtà questa figura (il Federal Data Protection Act) era già esistente da anni nelle aziende con almeno 10 persone coinvolte nel trattamento automatizzato di dati personali.

Una società bavarese che aveva affidato l’incarico di Federal Data Protection Act al proprio responsabile IT manager, è stata multata. Seppur vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Questo interesserà quindi non solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer.
Bisognerà quindi evitare, nonostante sia consentito al dpo di svolgere anche altre mansioni, le forme di auto-monitoraggio che contrastano con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo.

Le linee guida dettate dal Working Party 29 consigliano ai titolari del trattamento che si apprestano a designare il data protection officer: “… può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.”
 

Vuoi saperne di più?

Fonte dei contenuti: www.corierecomunicazioni.it