Funzione IT e incompatibilità con il ruolo di Data Protection officer: la lezione del Garante Privacy

L’attribuzione di ulteriori compiti e funzioni a un DPO, tanto se precedente quanto se successiva alla designazione, comporta l’esigenza per l’organizzazione designante di dover valutare se da ciò possa derivare un conflitto d’interessi e di conseguenza incorrere in una violazione dell’art. 38 par. 6 GDPR.

La CGUE nella causa C-453/21 ha già provveduto a fissare un’interpretazione della norma per cui ciò che rileva è una valutazione sostanziale e non meramente formale, con l’indicazione di metodo di seguire un case-by-case approach, tenere conto del contesto e di tutte le circostanze pertinenti e determinare così se le stesse sono idonee a configurare un conflitto di interessi.

Dal momento che è precisa responsabilità dell’organizzazione garantire che il Data Protection Officer non si trovi in una posizione di conflitto d’interessi, è possibile fare ricorso alle buone prassi individuate dalle Linee guida sui responsabili della protezione dei dati WP243 fra le quali figura l’individuazione di qualifiche e funzioni incompatibili e la previsione di un’illustrazione più articolata dei casi di conflitto di interessi. Perché ciò si possa tradurre su un piano pratico, è necessaria però l’adozione di alcuni criteri che devono trovare anche puntuale rendicontazione nel processo decisionale della designazione.

Il provvedimento del Garante

L’Autorità Garante per la protezione dei dati personali, con il provv. n. 363 del 31 agosto 2023 si è pronunciata su un caso di incompatibilità della funzione IT con il ruolo di DPO con un ammonimento nei confronti di un Comune. Sebbene tale caso di scuola già esemplificativamente richiamato all’interno del Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, il provvedimento è particolarmente utile in quanto conferma e dà evidenza sia di un metodo di valutazione quanto dei criteri da seguire.

La segnalazione che ha dato avvio all’apertura dell’istruttoria ha infatti riguardato la designazione da parte di un Comune di un DPO già direttore amministrativo di una società interamente partecipata dallo stesso e preposta alla fornitura in house di: "servizi strumentali relativi a: supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati dell’Ente, attività di amministrazione dei sistemi informativi".

In forza dello svolgimento di tali attività, la società in-house si trovava infatti a svolgere il ruolo di responsabile del trattamento, espressamente regolato all’interno del contratto di affidamento e dei relativi allegati. Negli stessi veniva anche previsto lo svolgimento di attività di supporto per l’osservanza del GDPR nonché la facoltà di individuare un eventuale soggetto esterno da designare come DPO.

Le contestazioni

Tanto premesso, le contestazioni hanno riguardato in primo luogo la violazione dell’art. 38 par. 6 GDPR "er aver designato quale RPD un soggetto in posizione di conflitto di interessi in quanto titolare di un incarico di vertice che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune".

Nonostante il Comune abbia rappresentato nelle proprie difese che il DPO fosse in una posizione di autonomia e indipendenza formale in quanto diverso soggetto di diritto privato non essendo amministratore della società, queste non sono valse a superare i rilievi del Garante. Infatti, tale interpretazione non è stata valutata come fondata proprio tenendo conto degli elementi di contesto che sono stati specificamente analizzati nel corso dell’istruttoria.

Il conflitto di interessi è indubitabile nel momento in cui si concorre all’adozione di decisioni fondamentali sui trattamenti, e così è stato in forza dello svolgimento del proprio ruolo di direttore amministrativo della società in-house.

Per proseguire questa interessante analisi, di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia, consulente Privacy & ICT Law, Data Protection Officer, Privacy Officer certificato TÜV Italia (sarà tra i relatori al Cyber & Privacy Forum 2023) questo è il link