Avevamo già affrontato la questione della posizione del DPO e le garanzie di indipendenza ed autonomia che devono caratterizzare tale funzione. Recentemente, una decisione da parte dell’autorità di controllo belga (GBA – Gegevensbeschermingsautoriteit) ha posto in risalto gli obblighi per ciascun titolare e responsabile del trattamento di analizzare e predisporre misure effettive e concrete perché al ruolo del DPO vengano assicurate delle tutele circa l’assenza di conflitto di interessi nell’esecuzione dei propri compiti e, soprattutto, un adeguato coinvolgimento all’interno dei processi dell’organizzazione.
L’istruttoria da parte della GBA è stata avviata in seguito ad un evento di data breach, e all’esito della stessa è stata contestata al titolare del trattamento la violazione dell’art. 38.6 GDPR con l’emissione di una conseguente sanzione pecuniaria per l’importo di 50 mila euro.
Il principio di accountability comporta responsabilizzazione e capacità di rendicontare gli adempimenti, ed ha un carattere sostanziale, pratico ed effettivo.
Per valutare l’assenza di conflitto di interessi, ad esempio, non è sufficiente fermarsi a considerare unicamente la posizione formale bensì i compiti svolti e il ruolo assunto all’interno dell’organizzazione con riguardo alle attività di trattamento dei dati personali. Nel caso in considerazione, la funzione di direzione di più dipartimenti (Compliance, Risk Management, Internal Audit) ha portato a valutare la presenza di un conflitto di interessi in quanto non sono state predisposte misure adeguate a limitare il conflitto d’interessi, anche in ragione di una sostanziale impossibilità di garantire adeguatamente il segreto o la riservatezza (art. 38.5 GDPR) a tutela dei dipendenti. Ulteriormente, la funzione di sorveglianza indipendente appariva poco realizzabile nei confronti dei trattamenti svolti in ragione delle ulteriori funzioni assunte dal DPO.
Per quanto riguarda l’aspetto di valutare l’effettivo coinvolgimento del DPO, la GBA ha invece ritenuto “plausibile” tale aspetto considerando sia i flussi informativi e il ruolo di consulenza svolto per l’analisi del rischio sulle attività di trattamento di dati personali. Sebbene non sia stata dunque valutata come sussistente la violazione dell’art. 38.1 GDPR, è bene evidenziare come in sede di elaborazione dei modelli aziendali (nel caso oggetto di indagine, il modulo e la procedura relativi al data breach) è necessario considerare un assetto organizzativo dell’azienda che contempli il ruolo del DPO.
Gli spunti offerti da parte dell’autorità di controllo evidenziano così un approccio rivolto ad indagare le circostanze in concreto, con la ricerca di evidenze che attestino l’effettività di indipendenza e coinvolgimento del DPO. Il tutto, perfettamente coerente con l’approccio di responsabilizzazione/accountability, il quale richiede la predisposizione di misure tecniche e organizzative atte a garantire e dimostrare il rispetto del GDPR.
