Molte aziende di area farmaceutica e medical device si stanno interrogando su chi nominare come DPO. In tante hanno manifestato l’intenzione di nominare come DPO il proprio responsabile interno di ICT. A parer mio questa soluzione può rivelarsi molto rischiosa. L’art. 37 del RGDP stabilisce infatti che
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.
L’art. 39 a sua volta stabilisce che il DPO deve
informare e fornire consulenza …. in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
sorvegliare l'osservanza del presente regolamento nonchè,….. la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
L’art. 38 stabilisce che il DPO deve essere in una posizione di indipendenza (comma 3) e non deve essere in una posizione di conflitto di interessi (comma 6).
Nelle FAQ allegate alle Linee guida del WP29 - WP243 Guidelines on Data Protection Officers (‘DPOs’) - ANNEX FAQ al punto 3.3. così si legge:
9. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? (art. 38, paragrafo 3)
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:
- nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;
- nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
- nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT),……….
Ricapitolando.
Il DPO deve:
• avere conoscenza giuridiche nazionali, comunitarie e (se del caso) dei diversi paesi UE
• sensibilizzare del personale
• formare il personale
• essere in posizione di indipendenza
• non essere in posizione di conflitto di interessi
Alla luce di quanto sopra, è possibile che il manager IT aziendale non sia in grado di soddisfare tutti requisiti richiesti
Ed infatti il 20 ottobre 2016 il Garante tedesco ha sanzionato una società che aveva nominato il proprio responsabile IT come DPO (figura già presente oggi in Germania) in ragione del fatto che lo stesso, per i ruoli rivestiti n azienda, si trovava in posizione di conflitto di interessi.
Forse una soluzione può essere trovata nella nomina come DPO di una persona giuridica esterna - come spesso per l’ODV della 231/2001 - che vanti al suo interno diverse competenze (legali, informatiche, di audit).
Tale possibilità è peraltro pacificamente ammessa anche dalla Linee Guida del WP29 al punto 2.4.