Italiano
English
Français
Deutsch
Русский
Español
Viviamo tempi estremamente delicati, caratterizzati da un rimescolamento di regole, ruoli, posizioni, con un’alta propensione alla litigiosità e all’alterazione dei valori fondanti delle nostre civiltà, il che porta all’incertezza e alla crisi dei sistemi che reggono il nostro quotidiano, dalla famiglia alla scuola, dalla politica, ai mercati, alle relazioni sociali, fisiche o virtuali che esse siano.
Le nostre democrazie sono il risultato, nei secoli, di centinaia di scossoni analoghi, se non anche più radicali e violenti. Pertanto sebbene sia saggio tenere alta la guardia sui valori e le regole della nostra Costituzione e dei Trattati, occorre ugualmente, per quanto possibile, tornare ad occuparci delle attività quotidiane, non dimenticando che le nostre istituzioni, per fortuna continuano a lavorare come sempre a fianco di cittadini, imprese e pubbliche amministrazioni. Questo è il caso, ad esempio, del Garante per la protezione dei dati personali che con una importante pronuncia appena resa pubblica, torna a sottolineare l’importanza dei Data Protection Officer (Dpo). Con il provvedimento n. 802 del 19 dicembre 2024, pubblicato pochi giorni fa, l’Autorità ha sanzionato una società per non aver rispettato il principio di indipendenza del Dpo, facendo così emergere la centralità di questa funzione per imprese ed enti pubblici.
Il caso sui conflitti di interesse
Nell’ambito di un’istruttoria che ha portato all’accertamento di alcune violazioni data protection, il Garante ha sanzionato l’impresa per non aver rispettato i requisiti di indipendenza, autonomia e assenza di conflitti di interessi che devono assistere la nomina e lo svolgimento dell’incarico di Dpo.
Nel caso al vaglio dell’Autorità, ad essere designato come Dpo era stato lo stesso rappresentante legale della società nei cui confronti dovevano essere esercitati i compiti di controllo e consulenza affidati a questa funzione dal Gdpr.
La valutazione del Garante
Questa scelta è stata considerata dall’Autorità contra legem e meritevole di sanzione. Il Garante ha precisato che la funzione di Dpo è «del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti non può avere la necessaria indipendenza per esercitare anche i compiti di sorveglianza, sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali […] affidati appunto a un soggetto (anche interno) a cui deve essere tuttavia assicurata una condizione di indipendenza».
