Una volta effettuata la valutazione in merito all’obbligo o meno di nominare il DPO ed essersi assicurato che il soggetto designato dimostri di avere una conoscenza approfondita della materia \u2013 concetti di cui abbiamo parlato nel precedente articolo \u201cChi \u00e8 e quando \u00e8 prevista la nomina del DPO<\/a>\u201d \u2013 il Titolare\/Responsabile del trattamento dovr\u00e0 focalizzarsi sui criteri per effettuare la migliore scelta, in linea con le indicazioni del GDPR.<\/p>\n Il DPO potr\u00e0 essere scelto sia al proprio interno, mediante uno specifico atto di designazione, sia affidandosi a un professionista o a una societ\u00e0 esterna all\u2019azienda, in base ad un contratto di servizi, a patto che, ai sensi dell\u2019articolo 38<\/a> del GDPR:<\/p>\n 1. Al DPO venga garantita la piena indipendenza nello svolgimento del proprio ruolo<\/strong><\/p>\n L\u2019articolo 38<\/a>, terzo paragrafo, del GDPR fissa alcune garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia all\u2019interno dell\u2019organizzazione del Titolare\/Responsabile del trattamento, il quale deve assicurarsi che:<\/p>\n a. il DPO non riceva alcuna istruzione <\/strong>per quanto riguarda l’esecuzione dei suoi compiti, che sia o meno un dipendente del Titolare\/Responsabile del trattamento.<\/p>\n b. il DPO non pu\u00f2 essere rimosso o penalizzato <\/strong>dal Titolare\/Responsabile del trattamento per l’adempimento dei propri compiti, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attivit\u00e0 da questi svolte.<\/p>\n Il principale effetto di queste garanzie si traduce nel fatto che il DPO non \u00e8 personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali<\/strong>.<\/p>\n Infatti, \u00e8 compito del Titolare\/Responsabile del trattamento (ai sensi del principio di accountability sancito dall\u2019articolo 24<\/a> del GDPR) mettere in atto le misure tecniche ed organizzative adeguate a garantire e dimostrare che il trattamento dei dati personali \u00e8 effettuato conformemente al GDPR;\u00a0pertanto, se il Titolare\/Responsabile del trattamento assume una decisione incompatibile con il GDPR e\/o le indicazioni fornite dal DPO, quest\u2019ultimo deve avere la possibilit\u00e0 di manifestare formalmente il proprio dissenso.<\/p>\n Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del Titolare del trattamento, che \u00e8 (eventualmente in solido col Responsabile) l’unico soggetto responsabile, in ultima istanza, del rispetto della normativa.<\/p>\n Il Titolare\/Responsabile del trattamento potr\u00e0 quindi solo avanzare pretese risarcitorie basate sulla responsabilit\u00e0 contrattuale, nei confronti del DPO, in virt\u00f9 del mancato adempimento dei suoi obblighi di consulenza ed assistenza (per i casi ad esempio di dolo o colpa grave).<\/p>\n A tutela della sua autonomia, il Titolare\/Responsabile del trattamento deve\u00a0mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito<\/strong>, prescrizione che pu\u00f2 tradursi in alcune delle prassi indicate anche dalle Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29)<\/a>, quali:<\/p>\n Come ricordano puntualmente le Linee guida del WP29, \u201cIn linea di principio, quanto pi\u00f9 aumentano complessit\u00e0 e\/o sensibilit\u00e0 dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD<\/em>\u201d poich\u00e9 \u201cLa funzione \u201cprotezione dati\u201d deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto<\/em>\u201d.<\/p>\n 2. Il DPO non svolga altri compiti e funzioni, che diano adito a un conflitto d’interessi con il suo ruolo<\/strong><\/p>\n L\u2019articolo 38<\/a>, sesto paragrafo, del GDPR, enuncia il criterio di assenza di conflitto di interessi da parte del DPO, il quale \u00e8 strettamente connesso agli obblighi di indipendenza del medesimo, con particolare riferimento allo svolgimento di altri compiti e funzioni.<\/p>\n Come indicano anche le Linee guida del WP29, sebbene sia opportuno operare una valutazione caso per caso guardando alla specifica struttura organizzativa del singolo Titolare\/Responsabile del trattamento, il conflitto di interessi pu\u00f2 essere riferito, in sostanza, al caso in cui il DPO \u201crivesta, all\u2019interno dell\u2019organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalit\u00e0 o modalit\u00e0 del trattamento di dati personali<\/strong><\/em>\u201d.<\/p>\n In tale ottica, il ruolo di Data Protection Officer appare quindi incompatibile, ad esempio, con incarichi di alta direzione (amministratore delegato, direttore generale, ecc.), o con figure responsabili nell’ambito di strutture aventi potere decisionale (direzione risorse umane, direzione finanziaria, direzione affari generali e legali, responsabile IT, etc.).<\/p>\n Recentemente, questo delicato aspetto \u00e8 stato affrontato nella decisione n. 18\/2020<\/strong> dell\u2019Autorit\u00e0 di controllo sulla protezione dei dati personali del Belgio<\/a>, con cui \u00e8 stata sanzionata un\u2019azienda per violazione dell\u2019articolo 38<\/a>, paragrafo 6, del GDPR, in riferimento all\u2019assenza di conflitto di interessi del DPO.<\/p>\n Nella fattispecie, il soggetto designato ricopriva contemporaneamente il ruolo di responsabile dei dipartimenti di Compliance, Risk Management <\/em>and Internal Audit<\/em>, emergendo, in particolare, il conflitto d\u2019interessi nel momento in cui le sue attivit\u00e0 non si limitavano all\u2019analisi dei processi di business e alla stesura di un report (di impronta meramente consultiva), ma comportavano anche la concreta predisposizione delle azioni di remediation<\/em>, in grado quindi di incidere, anche profondamente, nelle scelte aziendali.<\/p>\n Come gi\u00e0 precedentemente anticipato, il ruolo di DPO pu\u00f2 essere affidato ad uno dei dipendenti dell’azienda ma pu\u00f2 anche essere, ai sensi dell\u2019articolo 37<\/a>, paragrafo 6, del GDPR,\u00a0esternalizzato a un fornitore di servizi<\/strong>\u00a0(libero professionista o azienda) attraverso un apposito contratto<\/strong>.<\/p>\n Anche qualora la funzione di Data Protection Officer venga esercitata da una persona giuridica, \u00e8 necessario individuare un soggetto fisico \u00abreferente<\/strong>\u00bb, il quale – come sancito dalla terza sezione del TAR Puglia di Lecce con la sentenza n. 1468\/2019<\/strong><\/a> – deve \u00abappartenere alla persona giuridica nominata DPO\u00bb, impedendosi quindi, per questa funzione, qualsiasi tipo di subappalto ad un soggetto esterno.<\/p>\n Tale decisione si fonda sul principio espresso dalle Linee guida del WP29, secondo cui \u201cqualora la funzione di DPO sia svolta da una persona giuridica, \u00e8 indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del GDPR<\/em>\u201d: un concetto che, ribadisce la sentenza, si riferisce \u2013 come stabilito anche dalla versione italiana ufficiale delle Linee guida – \u201cad ogni membro interno all\u2019organizzazione incaricata<\/strong> che svolge la funzione di DPO<\/em>\u201d e non \u201cad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di DPO<\/em>\u201d, sulla base di un accordo di prestazione professionale.<\/p>\n Ai sensi dell\u2019articolo 37<\/a>, paragrafo 7, del GDPR, il Titolare\/Responsabile del trattamento deve pubblicare i dati di contatto del DPO e comunicarli all’autorit\u00e0 di controllo.<\/p>\n La comunicazione all\u2019Autorit\u00e0 Garante per la protezione dei dati personali dei dati di contatto del DPO designato, insieme al suo nominativo, si effettua attraverso l\u2019apposita procedura online<\/a> disponibile sul sito dell\u2019Autorit\u00e0, la quale rimane l\u2019unica valida per l\u2019invio, la variazione e la revoca dei dati di contatto del DPO.<\/p>\n\n
DPO esterno sulla base di un contratto di servizi<\/h5>\n
Comunicazione e pubblicazione dei dati di contatto del DPO<\/h5>\n