Una nomina di comodo del DPO, giusto per soddisfare formalmente l’obbligo di cui all’art. 37 del GDPR, può costare caro.
L’Autorità tedesca per la protezione dei dati personali (BlnBDI) ha così inflitto una salatissima sanzione di oltre mezzo milione di Euro ad una società che aveva nominato come DPO l’amministratore delegato di due società Responsabili del trattamento (provv. del 20 settembre 2022).
Così ha sottolineato Volker Brozio, responsabile ad interim del BlnBDI: «Questa multa sottolinea l’importante ruolo dei DPO nelle aziende. Il DPO non può monitorare la conformità alla legge sulla protezione dei dati da un lato e, dall’altro, co-decidere sui trattamenti. Tale autocontrollo è in contrasto con la funzione del DPO che dovrebbe essere un organismo indipendente che opera per il rispetto della protezione dei dati».
La sanzione, così salata, ha tenuto conto del settore di business in cui opera il titolare (e-commerce) e dell’elevato fatturato (le sanzioni sono infatti comminate secondo un massimo edittale che arriva al 2% del fatturato mondiale del titolare, o a 20 milioni di Euro ex art. 83 GDPR). È stata però anche presa in considerazione la deliberata prosecuzione della nomina del DPO per quasi un anno nonostante l’avvertimento già emesso.
«Per evitare violazioni della normativa in tema di protezione dei dati, le aziende dovrebbero evitare qualsiasi duplicazione dei ruoli dei DPO nelle strutture aziendali per i conflitti di interesse», ha aggiunto Brozio.
Anche in Italia sono stati ravvisati casi simili di conflitto di interessi, per esempio laddove il DPO avesse anche procura o ruolo per assumere decisioni rilevanti per conto del titolare in ordine al trattamento dati.
L’Accademia di Belle Arti di Roma, per esempio, è stata sanzionata lo scorso anno (ordinanza ingiunzione n. 318 del 16 settembre 2021) giacché la nomina della Direttrice Amministrativa anche come DPO comportava una sua incapacità di esprimere libere valutazioni in modo indipendente dall’Accademia stessa. Una violazione, quindi, dell’art. 38, par. 6, GDPR, per conflitto d’interessi. Osservava inoltre il Garante che «tenuto conto delle numerose e gravose competenze attribuite dalla legge alla figura del Direttore Amministrativo, difficilmente quest’ultimo avrebbe potuto disporre di tempo sufficiente a svolgere in maniera adeguata anche la funzione di DPO».
Non solo quindi assenza di situazioni di conflitto, ma anche incompatibilità per mancanza di competenza o tempo per svolgere adeguatamente il ruolo.
31.01.2025
