Il Garante belga ha comminato una sanzione pari a 50mila euro ad un’azienda che nel proprio organigramma comprendeva un Data Protection Officer, questo, però non risultava possedere quelle caratteristiche fondamentali di indipendenza previste dal GDPR.
L’ispezione è iniziata a causa di un evento di violazione dei dati personali subito dall’azienda, ma nel corso della stessa la GBA ha rilevato la mancanza d’indipendenza nell’esecuzione dei propri compiti del Responsabile per la Protezione dei Dati Personali (art. 38.6 GDPR) comminando conseguentemente la succitata sanzione.
Infatti, è assolutamente sconsigliato (per non dire vietato) nominare soggetti apicali della propria organizzazione come soggetti facenti parti di organi direttivi o decisionali, manager o responsabili d’area.
E’ inoltre sempre necessario verificare, oltre alla posizione formale del soggetto da incaricare, anche i compiti che lo stesso svolge nel concreto, nel caso di specie il soggetto designato ricopriva la carica di responsabile del settore compliance, internal audit e risk management.
La contestazione da parte dell’autorità non prendeva infatti in considerazione esclusivamente la posizione del soggetto designato, ma il fatto che lo stesso svolgesse attività che, per loro natura non risultano compatibili con l’esigenza di garantire il segreto o la riservatezza e in totale assenza di contromisure documentabili (in accordo con il principio di accountabilityResponsabilità nell' adozione di approcci e politiche azien...) utili a mitigare la manca di indipendenza.
Per quanto riguarda l’aspetto di valutare l’effettivo coinvolgimento del DPO, la GBA ha invece ritenuto “plausibile” tale aspetto considerando sia i flussi informativi e il ruolo di consulenza svolto per l’analisi del rischio sulle attività di trattamento di dati personali. Sebbene non sia stata dunque valutata come sussistente la violazione dell’art. 38.1 GDPR, è bene evidenziare come in sede di elaborazione dei modelli aziendali (nel caso oggetto di indagine, il modulo e la procedura relativi al data breach) è necessario considerare un assetto organizzativo dell’azienda che contempli il ruolo del DPO.
Gli spunti offerti da parte dell’autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... evidenziano così un approccio rivolto ad indagare le circostanze in concreto, con la ricerca di evidenze che attestino l’effettività di indipendenza e coinvolgimento del DPO. Il tutto, perfettamente coerente con l’approccio di responsabilizzazione/accountability, il quale richiede la predisposizione di misure tecniche e organizzative atte a garantire e dimostrare il rispetto del GDPR.
