Ottimizzazione dei costi, concentrazione delle funzioni, scarsa propensione a ritenere di poter essere destinatari di una sanzione da oltre mezzo milione di euro per avere violato il GDPR. Forse sono state anche queste le ragioni per cui, a distanza di un anno, un gruppo di e-commerce tedesco continuava a disattendere le indicazioni già rese dall’Autorità Garante berlinese in merito alla contestata violazione del GDPR collegata al conflitto di interessi riscontrato nel ruolo di responsabile della protezione dei dati (Data Protection Officer o DPO), rivestito dall’amministratore delegato. In altre parole, la medesima persona, nella qualità di DPO, doveva vigilare sul rispetto della normativa in materia di protezione dei dati personali da parte delle società di servizi attive nell’ambito dell’elaborazione degli ordini, che la stessa persona gestiva, tuttavia, anche in qualità di amministratore delegato.
Per l’Autorità Garante berlinese, l’aver riscontrato, nel 2022, che la violazione era ancora in corso nonostante la diffida del 2021, è stato sufficiente per passare dalla diffida ai fatti ed infliggere la pesante sanzione di cui si parla diffusamente in questi giorni. Per il gruppo di e-commerce sanzionato, oltre al danno, la beffa della cattiva pubblicità che ne deriva, ovviamente.
Le riflessioni che ne derivano sono diverse.
Va anzitutto ricordato che la nomina del responsabile della protezione dei dati (Data Protection Officer o DPO) è obbligatoria quando rientra nelle prescrizioni dell’art. 37 del Regolamento UE 2016/679 (GDPR,) e cioè ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Ai sensi dell’art. 38, possiamo sinteticamente ricordare che il DPO ha la funzione di consigliare l’azienda sui compiti e gli obblighi in materia di protezione dei dati e anche di vigilare sul rispetto delle normative in materia. Proprio in ragione dei compiti che sono attribuiti, è necessario che il titolare del trattamento designi come DPO una persona che, oltre a possedere le competenze richieste, non sia soggetta ad alcun conflitto di interessi dovuto ad altri compiti, ed operi in modo indipendente senza ricevere istruzioni da nessuno, come previsto dall’articolo 38 n. 6 del GDPR: ”Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Il DPO, quindi, per non incorrere nella fattispecie del conflitto di interessi, vietato dal dato normativo, non dovrebbe mai svolgere il proprio compito controllando “se stesso” ed il proprio operato. Nel caso in esame, invece, l’amministratore delegato, per effetto della propria posizione dirigenziale, adottava decisioni strategiche e significative in merito al trattamento dei dati personali degli utenti; contemporaneamente, nella qualità di DPO, doveva svolgere, ad esempio, la funzione di consigliare se stesso sulle corrette decisioni strategiche aziendali adottate, ma alla luce della normativa sul trattamento dei dati personali.
Va aggiunto, in linea di massima, che l’anima imprenditoriale, votata alla crescita del fatturato, tende “by default” alla massima “valorizzazione” delle risorse, tra le quali, certamente, vanno inclusi i dati personali degli utenti conservati presso l’azienda. Tale approccio, tende sovente a trovare uno scoglio nel GDPR, invece collegato a logiche diverse, tra le quali la tutela dei diritti e delle libertà delle persone fisiche, talvolta non del tutto compatibili con quelle del business.
