Il Garante tedesco sanziona un’azienda con 525.000€ per conflitto di interessi del DPO

Nonostante l’azienda fosse già stata ammonita più di un anno fa, questa non rimuove la carica di DPO dalla figura dell’AD di due società di servizi che trattavano i dati per la società stessa, in palese conflitto di interessi.


È di circa 15 giorni fa la sentenza del Commissario di Berlino per la protezione dei dati e la libertà di informazione (BlnBDI) – facente parte della federazione dei garanti tedeschi – che commina la sanzione di 525.000€ ad una società di e-commerce per aver nominato in qualità di DPO di una delle sue filiali la stessa persona che ricopre il ruolo di AD di due società di servizi che trattavano i dati proprio per la società stessa. Inoltre, le tre società fanno capo alla stessa holding, da cui sono controllate.

Tutto questo, in evidente stato di conflitto di interessi, e per di più nonostante l’ammonimento ricevuto, per la stessa motivazione, più di un anno fa.

Infatti, già nel 2021 la società era stata oggetto di un controllo da parte del Garante, il quale aveva rilevato appunto l’inidoneità della figura preposta alla protezione dei dati trattati dall’e-commerce in questione, essendo la stessa figura, in sintesi, che si occupava del trattamento dei medesimi per conto della società stessa.

La normativa specifica che il ruolo del DPO non è tutelare gli interessi del titolare del trattamento. Al contrario, il DPO deve tutelare i dati personali, quindi i diritti degli interessati. Ne discende la necessità che il DPO possa svolgere la propria mansione in piena autonomia e indipendenza e in assenza di conflitto d’interesse.

Il Garante sloveno, nell’interpretare le norme del Regolamento europeo, per esempio, è stato ancora più specifico e, rispetto al settore privato, ha specificato che figure come

  • l’amministratore delegato;
  • il direttore operativo;
  • il direttore finanziario;
  • i responsabili del marketing, delle risorse umane e il responsabile IT;
  • altri ruoli subordinati nell’organizzazione aziendale
  • siano incompatibili con la nomina a DPO.

L’art. 38 GDPR, infatti, specifica che il DPO non deve riceve alcuna istruzione da parte del titolare o del responsabile del trattamento, come modalità essenziali per garantirne l’autonomia di azione.

Ciò rende impossibile, per chi si trova ai vertici di un’azienda o di un ente, ricoprire il ruolo di DPO, ma anche, come in questo caso, per chi è ai vertici di un’azienda che fornisce il servizio all’altra, come può essere presumibile in questo caso una società informatica che faccia trattamenti dati, o una web agency che si occupa dell’e-commerce della società in questione.

Infatti, in casi simili, il DPO non può essere nè libero, indipendente, nè imparziale, come indica la normativa, essendo sottoposto al controllo e alla direzione del titolare dell’organizzazione per cui fornisce il servizio del trattamento. Come dire: il controllore che deve sottostare alle direttive del controllato…

Per la consultazione del provvedimento del Garante tedesco si può visionare il seguente allegato

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su
My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: