Il Garante è recentemente intervenuto sul ruolo del Responsabile per la protezione dei dati (“DPO”), essendo quest’ultima figura un riferimento essenziale per la corretta applicazione della normativa e del principio di accountability. In tale contesto, l’Autorità ha così emanato un provvedimento rivolto alla Pubblica Amministrazione ed ha aggiornato le FAQ riguardanti il settore privato. In particolare, sono stati analizzati i temi delle modalità di designazione del DPO, le sue funzioni e le qualità professionali richieste nonché le incompatibilità con altre cariche e le diverse ipotesi di conflitto di interessi.
Quanto alle caratteristiche del ruolo, il Garante ha precisato che il DPO, per la funzione conferitagli, deve possedere una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati (fondamentale, pertanto, è l’analisi dell’esperienza professionale e lavorativa), e ciò al di là di particolari certificazioni il cui possesso, senza la comprovata esperienza, non equivarrebbe di per sé ad un’abilitazione allo svolgimento della funzione.
Per ciò che, invece, concerne l’ambito più dibattuto dei conflitti di interesse e delle incompatibilità, il Garante si era già più volte occupato direttamente dell’argomento, affidando alle Linee guida WP243 ed alle FAQ le indicazioni più importanti: presupponendo, in ogni caso, ad ogni valutazione in concreto, caso per caso, l’individuazione di un irrinunciabile profilo di indipendenza del DPO, il Garante ha, nel predetto documento, approfondito il tema ed analizzato specificatamente alcune potenziali situazioni di conflitto, in via generale ascrivibili a ruoli apicali di vertice.
Quanto all’ambito privato, quindi, nelle FAQ aggiornate nel mese di maggio viene specificato come incompatibile con il ruolo di DPO un soggetto interno all’organizzazione dell’impresa che abbia incarichi di alta direzione con specifiche funzioni (ad esempio il CEO, un membro del CdA, il direttore generale, il responsabile IT, il responsabile audit e/o gestione del rischio, il responsabile del servizio prevenzione e protezione, ecc.) o particolare potere decisionale in ordine alle finalità ed alle modalità del trattamento (ad esempio il direttore HR, il direttore marketing, il CFO, ecc.): in tale contesto, quindi, sarebbe una candidatura seria quella del responsabile delle funzioni legali, al quale potrebbe senza dubbio essere assegnato l’incarico di DPO previa verifica, in base al contesto di riferimento, dell’assenza di ulteriori ipotesi di conflitto di interessi.
Con riferimento, infine, alla Pubblica Amministrazione, il Garante, a prescindere dalla circostanza che un giudizio coinvolga o meno questioni di protezione dei dati personali, ha invece invitato espressamente tutte le pubbliche amministrazioni a non designare un DPO che, contemporaneamente, svolga per queste ultime il ruolo di difensore in giudizio e/o di controparte in un procedimento.