Data privacy: Chi sara' il mio DPO?

Molte aziende di area farmaceutica e medical device si stanno interrogando su chi nominare come DPO. In tante hanno manifestato l’intenzione di nominare come DPO il proprio responsabile interno di ICT. A parer mio questa soluzione può rivelarsi molto rischiosa. L’art. 37 del RGDP  stabilisce infatti che

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.

L’art. 39 a sua volta stabilisce che il DPO deve

informare e fornire consulenza …. in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

sorvegliare l'osservanza del presente regolamento nonchè,….. la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

L’art. 38 stabilisce che il DPO deve essere in una posizione di indipendenza (comma 3)  e non deve essere in una posizione di conflitto di interessi (comma 6).

Nelle FAQ allegate alle Linee guida del WP29 - WP243 Guidelines on Data Protection Officers (‘DPOs’) - ANNEX FAQ al punto 3.3.  così si legge:

9. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? (art. 38, paragrafo 3)

Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:

-  nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;

-  nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;

-  nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.

A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT),……….

Ricapitolando.

Il DPO deve:

•         avere conoscenza giuridiche nazionali, comunitarie e (se del caso) dei diversi paesi UE

•         sensibilizzare del personale

•         formare il personale

•         essere in posizione di indipendenza

•         non essere in posizione di conflitto di interessi

Alla luce di quanto sopra, è possibile che il manager IT aziendale non sia in grado di soddisfare tutti requisiti richiesti

Ed infatti il 20 ottobre 2016 il Garante tedesco ha sanzionato una società che aveva nominato il proprio responsabile IT come DPO (figura già presente oggi in Germania) in ragione del fatto che lo stesso, per i ruoli rivestiti n azienda, si trovava in posizione di conflitto di interessi.

Forse una soluzione può essere trovata nella nomina come DPO di una persona giuridica esterna  - come spesso per l’ODV della 231/2001 - che vanti al suo interno diverse competenze (legali, informatiche, di audit).

Tale  possibilità è peraltro pacificamente ammessa anche dalla Linee Guida del WP29 al punto 2.4.

 
Autore:

Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.

Segui Silvia Stefanelli: