La Corte di giustizia dell’Unione europea sostiene che i responsabili della protezione dei dati, i Data Protection Officer, possono mantenere altri compiti e mansioni nell’ambito del loro ruolo, se non comportano un conflitto di interessi. In una sentenza del 9 febbraio, incentrata sull’articolo 38 del Regolamento generale sulla protezione dei dati dell’UE, la CGUE ha dichiarato che i responsabili della protezione dei dati devono “essere in grado di svolgere le loro funzioni e i loro compiti in modo indipendente”, e che “non possono essere incaricati di compiti o mansioni che li porterebbero a determinare gli obiettivi e le modalità del trattamento dei dati personali da parte del responsabile del trattamento o del suo incaricato”. La CGUE ha affermato che “spetta al giudice nazionale stabilire, caso per caso, sulla base di una valutazione di tutte le circostanze pertinenti”. È probabile che questa sia una distinzione “sempre più importante e stringente” per i professionisti e le organizzazioni che si occupano di privacy, “alle prese con la difficile convergenza tra conformità normativa e prassi aziendale”, ha dichiarato Joe Jones, direttore del dipartimento Ricerca e approfondimenti dell’IAPP. “Questa potrebbe essere una posizione intrattabile per molte organizzazioni in cui il DPO indossa molti cappelli diversi, alcuni dei quali possono avere un potere decisionale su quali dati trattare, e sui perché e come”, ha affermato. La sentenza precede l’imminente azione coordinata di controllo dell’applicazione della legge da parte del Comitato europeo per la protezione dei dati, incentrata sulla designazione del DPO. La decisione della CGUE fa seguito a una richiesta di pronuncia pregiudiziale presentata dal Bundesarbeitsgericht, il Tribunale federale del lavoro tedesco, in merito a un procedimento tra X-Fab Dresda e il suo ex responsabile della protezione dei dati. L’ex DPO, che aveva svolto anche il ruolo di “presidente del consiglio di fabbrica”, è stato licenziato dal ruolo di DPO nel dicembre 2017. Nel maggio 2018, quando il GDPR è diventato legge, X-Fab ha sostenuto che il licenziamento dell’ex DPO era giustificato, citando il “rischio di un conflitto di interessi” nello svolgimento di entrambe le funzioni “in quanto queste due cariche sono incompatibili”. Jones ha inoltre osservato che la CGUE ha stabilito che l’articolo 38, che stabilisce che i DPO non possono essere licenziati o penalizzati per lo svolgimento delle loro funzioni, non impedisce alle leggi nazionali di stabilire ulteriori tutele contro il licenziamento dei DPO. Tuttavia, queste tutele aggiuntive non devono “compromettere gli obiettivi principali del GDPR di mantenere elevati livelli di protezione dei dati”. “L’esempio che la CGUE fornisce è che le leggi nazionali non possono proteggere i DPO dal licenziamento nel caso in cui il DPO non sia in grado o non sia più in grado di svolgere i propri compiti in completa indipendenza a causa dell’esistenza di un conflitto di interessi”, ha affermato.
Fonte – https://iapp.org/news/a/cjeu-issues-ruling-on-dpos-and-conflict-of-interest/ by Jennifer Bryant