Sanzione da oltre mezzo milione di euro a un'azienda per la nomina del DPO in conflitto d'interessi

La nomina di un Data Protection Officer in conflitto di interessi ha comportanto una onerosa sanzione (525.000 euro) a una filiale di un gruppo tedesco di e-commerce.

La figura del responsabile della protezione dei dati (DPO) è in alcuni casi facoltativa, in Germania. In altri risulta invece obbligatoria; lo è nel caso in cui l’azienda presenti almeno 20 persone permanentemente addette a trattamenti automatizzati di dati personali, oppure quando rientra nelle prescrizioni dell’art. 37 del Regolamento UE 2016/679 (GDPR).

I Data Protection Officer devono offrire consigli all'azienda in merito ai compiti e agli obblighi in materia di protezione dei dati e vigilare sul rispetto delle normative in materia. Alla luce di questo, il titolare del trattamento deve designare una persona che, oltre a possedere le competenze richieste, non sia soggetta ad alcun conflitto di interessi dovuto ad altri compiti, ed operi in modo indipendente senza ricevere istruzioni da nessuno, come previsto dall'articolo 38 del GDPR.

Quando sussiste il conflitto di interessi

Se l'incarico fosse stato affidato a persone con posizioni dirigenziali nell'azienda, che prendono esse stesse decisioni di rilievo in merito al trattamento dei dati personali, allora potrebbe sussistere il conflitto di interesse. Un DPO non dovrebbe svolgere il proprio compito controllando il suo stesso operato. Era appunto questa la situazione del gruppo di e-commerce sanzionato dall’autorità berlinese.

Il DPO di una filiale del gruppo di e-commerce tedesco era infatti anche amministratore delegato di due società di servizi che trattavano dati personali per conto della società per la quale aveva il ruolo di Data Protection Officer. Le società a loro volta facevano parte del gruppo e si occupavano del servizio clienti e di dare esecuzione agli ordini. "Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell'ambito dell'elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato", spiega il comunicato stampa dell’autorità.

In questa situazione, il garante berlinese aveva riscontrato un conflitto di interessi e quindi una violazione del GDPR già nel 2021, quando aveva formalmente avvertito il gruppo di e-commerce. A seguito di un precedente controllo, l’autorità aveva riscontrato che la violazione era ancora in corso nonostante la diffida, e perciò ha deciso di infliggere la pesante sanzione, che allo stato attuale non è ancora definitiva. “Questa multa sottolinea l'importante ruolo dei responsabili della protezione dei dati all'interno dell'azienda. Un DPO non può da un lato monitorare il rispetto della legge sulla protezione dei dati e, dall'altro, avere voce in capitolo", sottolinea Volker Brozio, capo ad interim dell’autorità di controllo tedesca. Tale autoregolamentazione contraddice la funzione stessa del Data Protection Officer, che dovrebbe essere un organismo indipendente.

I fattori che hanno portato alla sanzione

Nel determinare l'importo della sanzione di oltre mezzo milione di euro, sono stati presi in considerazione diversi fattori, incluso il fatturato del gruppo nell'esercizio precedente e l'importante ruolo del responsabile della protezione dei dati come persona di contatto per un gran numero di dipendenti e clienti. L'autorità ha tenuto conto anche del fatto che il responsabile della protezione dei dati è stato deliberatamente nominato per quasi un anno nonostante l'avvertimento ricevuto. D’altra parte, la collaborazione mostrata dall'azienda all’Autorità e il fatto che la violazione sia finalmente cessata durante il procedimento sanzionatorio, sono stati considerati fattori attenuanti nel decidere l’ammontare.

Nel rendere noto il provvedimento, la BlnBDI ha ricordato alle aziende la necessità di verificare sempre l’eventuale presenza di conflitti di interesse in eventuali doppi ruoli ricoperti dal DPO al fine di evitare violazioni della protezione dei dati, e ciò vale in particolare quando vi sono responsabilità congiunte tra le società del gruppo.