Data Protection Officer, l’Autorità Garante Ellenica ridisegna i casi di conflitto di interesse
Il conflitto di interesse secondo l’Autorità ellenica: quali novità?
Il Data protection officer (DPO) rappresenta sicuramente una delle maggiori novità del GDPR. Il Regolamento, infatti, prevede che si tratti di un professionista dotato di competenze specialistiche ed esperienza in materia di protezione dei dati, indipendente. Inoltre, in base all’articolo 38, paragrafo 6, al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare del trattamento o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.
Per tali ragioni, sia le “Linee-guida sui responsabili della protezione dei dati” del Working Party Article 29, sia il Position Paper del 30.9.2018 dell’EDPS hanno elencato i casi più significativi di conflitto di interessi.
In particolare, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento:
- riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT);
- rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione di finalità o mezzi del trattamento;
- quando, in caso di nomina di DPO esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Con il Provvedimento del 23 gennaio 2020, l’autorità ellenica per la protezione dei dati (HDPA) ha stabilito che il DPO non può altresì rappresentare il responsabile del trattamento o il responsabile dinanzi alle Autorità di controllo, nei casi che riguardano problematiche di protezione dei dati: secondo l’Autorità, questa situazione può creare un conflitto di interessi ai sensi del GDPR, indipendentemente dalla natura interna o esterna della nomina.
Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya
Il caso dell’Autorità ellenica dimostra che l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.
Per tali ragioni, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Si segnalano, per i percorsi formativi e di aggiornamento:
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.