Una società di e-commerce tedesca è stata sanzionata con una multa di 525.000 euro per aver designato un Data Protection Officer in violazione delle norme GDPR sul conflitto di interessi. La multa è stata emessa dall’Autorità di Controllo di Berlino (Berliner Beauftragte für Datenschutz und Informationsfreiheit – BlnBDI) il 20 settembre scorso, come riportato nel comunicato stampa dell’autorità stessa.

Il DPO in questione doveva controllare in modo indipendente le decisioni che egli stesso aveva preso in un’altra veste. Nel caso specifico, infatti, il soggetto ricopriva contemporaneamente il ruolo di DPO della società e di amministratore delegato di due società di servizi del gruppo che trattavano dati personali. In altre parole, la società aveva nominato come DPO una persona che, nel ruolo di amministratore delegato, poteva prendere decisioni significative sul trattamento dei dati personali in azienda, generando quindi un conflitto di interessi.

Il BlnBDI aveva già individuato il conflitto di interessi – e la conseguente violazione del Regolamento generale sulla protezione dei dati – nel 2021, e aveva formalmente ammonito il gruppo di e-commerce. Tuttavia, a seguito di un’ulteriore ispezione effettuata nel 2022, l’autorità ha riscontrato che la violazione era ancora in corso nonostante la precedente diffida. Per questo motivo, l’autorità ha deciso di imporre una multa così onerosa per mancata osservanza all’art. 38, par. 6 del GDPR laddove si dispone che “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

Nel determinare l’importo della multa, sono stati presi in considerazione diversi fattori: il fatturato del gruppo nell’anno precedente e il fatto che il DPO avrebbe operato conflittualmente rispetto ad un gran numero di dipendenti e clienti. Inoltre, l’autorità ha tenuto conto anche del fatto che il DPO fosse stato deliberatamente nominato di nuovo per quasi un anno nonostante l’avvertimento ricevuto in precedenza dalla società. Al contempo, nel decidere l’importo, il BlnBDI ha considerato come fattore attenuante il fatto che il titolare si sia adoperato durante la procedura sanzionatoria per rimediare all’inadempienza.

Il provvedimento tedesco deve essere da monito a tutti le organizzazioni, anche italiane, che spesso dimenticano i crismi che devono connotare la figura del Responsabile della Protezione dei Dati (RDP) o Data Protection Officer che lo si voglia chiamare.  I DPO hanno un ruolo di primo piano per le imprese e le autorità pubbliche che trattano regolarmente dati personali e che si dotino della figura vuoi per obbligo di legge (secondo i dettami dell’art. 37, par.1 del GDPR) o per scelta. I DPO sono incaricati di svolgere compiti molto importanti come quelli stabiliti dall’art. 29 del GDPR ed, in estrema sintesi, consigliano i titolari (o responsabili) del trattamento e il relativo personale in merito ai loro obblighi di protezione dei dati e controllano la conformità alle norme sulla protezione dei dati. I DPO non possono, quindi, essere le stesse persone che hanno poteri decisionali o di controllo su questioni di protezione dei dati all’interno dell’organizzazione.

Aziende e P.A. dovrebbero sempre verificare la presenza di conflitti di interesse, specie quando questi assume un qualsiasi doppio ruolo all’interno dell’organizzazione o di un gruppo.

L’articolo 38 del GDPR specifica che il DPO non deve ricevere istruzioni dal titolare (o responsabile) del trattamento, in quanto ciò è essenziale per garantire la sua autonomia di azione. Allo stesso tempo, i titolari (o responsabili) del trattamento devono mettere a disposizione del DPO tutte le risorse necessarie per svolgere i compiti in modo indipendente.

Come sottolineato, già nel 2016, dal Working Party che riuniva le diverse autorità di privacy UE “L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un DPO può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali” (v. par. 3.5 delle Guidelines on Data Protection Officers). Il Working Party (cui nel 2018 è succeduto l’European Data Protection Board) segnalava che, ovviamente, la condizione di conflitto non può essere giudicata in astratto ma dev’esser valutata a seconda dei contesti organizzativi di specie. Tuttavia si spingeva in qualche esempio chiarificatore: “Come regola generale, le posizioni in conflitto possono includere posizioni dirigenziali (come amministratore delegato, direttore operativo, direttore finanziario, direttore medico, capo del dipartimento marketing, capo delle risorse umane o capo dei dipartimenti informatici), ma anche altri ruoli di livello inferiore nella struttura organizzativa, se tali posizioni o ruoli portano alla determinazione delle finalità e dei mezzi del trattamento”. Figuriamoci se il DPO è amministratore delegato di ben due società del medesimo gruppo per cui svolge l’incarico di “controllore” della compliance GDPR.