All’inizio del mese di febbraio la Corte di giustizia dell’Unione europea (“CGUE”) ha emesso la sentenza nella causa X-FAB Dresden (C-453/21) dove sono stati chiariti i criteri per valutare l’esistenza di un conflitto di interessi tra la posizione di responsabile della protezione dei dati (Data Protection Officer – “DPO”). Precisamente il 9 febbraio, la sentenza si è incentrata sull’articolo 38 del regolamento generale sulla protezione dei dati dell’UE: la CGUE ha affermato che i DPO dovrebbero “essere in grado di svolgere i propri compiti e compiti in modo indipendente” ma “non possono essere affidati a compiti o compiti che sarebbero comportare che lui o lei determini le finalità e le modalità del trattamento dei dati personali da parte del titolare del trattamento o del suo responsabile”. Di fatto, secondo la CGUE, questa è “una questione che spetta al giudice nazionale determinare, caso per caso, sulla base di una valutazione di tutte le circostanze pertinenti“.

Il direttore della ricerca e degli approfondimenti di IAPP, Joe Jones, sostiene che questa sia una distinzione “sempre più importante e difficile” per i professionisti e le organizzazioni della privacy mentre “sono alle prese con la difficile confluenza tra conformità normativa e pratica commerciale”.

In sintesi, la sentenza anticipa l’imminente azione di applicazione coordinata del Comitato europeo per la protezione dei dati incentrata sulle designazioni dei DPO. La decisione della CGUE ha fatto seguito a una domanda di pronuncia pregiudiziale presentata dal Tribunale federale del lavoro tedesco, Bundesarbeitsgericht, in merito a un procedimento tra X-Fab Dresden e il suo ex responsabile della protezione dei dati. L’ex DPO è stato destituito dal ruolo nel dicembre 2017. Nel maggio 2018, quando il GDPR è diventato legge, X-Fab ha sostenuto che il licenziamento dell’ex DPO era giustificato, adducendo “un rischio di conflitto di interessi” nello svolgimento di entrambe le funzioni “in quanto i due incarichi sono incompatibili”.

Jones ha anche osservato che la CGUE ha rilevato che l’articolo 38, che stabilisce che gli RPD non possono essere licenziati o penalizzati per l’esecuzione di compiti, non impedisce alle leggi nazionali di stabilire ulteriori protezioni contro il licenziamento degli RPD. Tuttavia, queste protezioni aggiuntive non dovrebbero “compromettere gli obiettivi principali del GDPR per mantenere elevati livelli di protezione dei dati“. La CGUE ha sottolineato che le organizzazioni devono garantire che al DPO non siano affidati compiti o doveri che potrebbero pregiudicare l’esecuzione dei loro obblighi in materia di DPO. In particolare, il DPO non può determinare le finalità e le modalità di un’attività di trattamento dei dati personali. È necessaria una valutazione caso per caso per determinare se esiste un conflitto di interessi. Tale valutazione dovrebbe tenere conto di “tutte le circostanze pertinenti, in particolare la struttura organizzativa del titolare del trattamento o del suo responsabile del trattamento e alla luce di tutte le norme applicabili, comprese eventuali politiche del titolare del trattamento o del suo responsabile del trattamento“. Una delle peculiarità distintive dei mesi precedenti e successivi all’introduzione del GDPR è stata la rapida espansione del complesso industriale responsabile della protezione dei dati.

In conclusione, quando la Corte di Giustizia dell’Unione Europea si è pronunciata su un tema che sta a cuore ai DPO, ossia in merito alla loro indipendenza del ruolo, bisogna far riferimento all’articolo 38, paragrafo 6, del GDPR secondo cui il DPO “può svolgere altri compiti e doveri… [ma]… il titolare del trattamento o il responsabile del trattamento deve garantire che tali compiti e doveri non si traduca in conflitto di interessi”. A tal proposito la CGUE afferma che “in conformità con l’obiettivo perseguito dall’articolo 38, paragrafo 6, del GDPR, al DPO non possono essere affidati compiti o funzioni che potrebbero pregiudicare l’esecuzione di le funzioni svolte dal DPO”.

Nell’ultimo periodo, il ruolo del Data Protection Officer è risultato di fondamentale importanza, rappresentando, nella sua figura, lo stato della compliance in sede ispettiva e nelle successive interlocuzioni con il Garante, consigliando, sorvegliando e fungendo da tramite fra l’organizzazione e l’autorità. La figura del DPO – in italiano RPD, Responsabile della Protezione dei Dati- è stata introdotta dal GDPR con il compito coadiuvare i responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo le indicazioni del Regolamento europeo.

Visualizzazioni: 84