Buonasera,
ripropongo alcuni quesiti relativi all’incompatibilità con la figura di DPO esterno.
Grazie a chi risponderà.
Siamo al limite.
RSPP non ha un trattamento diretto di dati personali e quindi in linea di principio non sembra sussistere un conflitto di interessi o di incompatibilità
Diverso il caso del consulente sul lavoro.
Alcuni spunti
Buonasera,
innanzitutto grazie per gli spunti, sempre utili a stimolare il ragionamento e la riflessione, sperando
siano corrette.
In particolare è interessante l’analisi del conflitto di interessi visto da un altro punto di vista perché ha comunque lo scopo di evidenziare elementi che possono potenzialmente farlo emergere e di conseguenza è necessario fare le dovute valutazioni.
Posto che il regolamento non individua le figure incompatibili o in conflitto di interessi con il DPO, ma si limita a stabilire che il titolare del trattamento deve assicurare che i compiti e le funzione svolte dal DPO non diano adito a conflitto di interessi (art 38), spetta comunque sempre al Titolare la valutazione dell’opportunità o meno di conferire l’incarico in determinate situazioni, in ogni caso meglio valutare caso per caso in base alla struttura organizzativa in cui dovrà operare il DPO, come suggeriscono le Linee Guida del WP29. Queste ultime individuano delle situazioni di conflitto di interessi in relazione al ruolo ricoperto, come il responsabile finanziario, responsabile del personale, responsabile IT e RPCT.
L’incarico di DPO generalmente non dovrebbe essere incompatibile con la nomina a Responsabile del Servizio di Prevenzione e Protezione. Ma nel caso specifico in cui l’RSPP, essendo nominato dal Datore di Lavoro Pubblico (Responsabile di trattamento per conto del Titolare/Ente Pubblico ex art 28 GDPR) nel fornire la consulenza allo stesso in materia di sicurezza sul lavoro in esecuzione del contratto, deve predisporre il Documento di Valutazione Rischi (in collaborazione con il Medico competente) comprendente anche “l’identificazione nominativa dei lavoratori esposti ai fini della predisposizione del protocollo sanitario conforme all’esposizione al rischio”, certamente viene a conoscenza dei dati personali dei lavoratori relativi alla salute, c.d. sensibili (oggi detti: categoria particolare di dati personali). Si può allora dire che l’RSPP tratta dati personali, quindi deve porre in essere tutte le misure adeguate per proteggere questi dati.
Ora, se l’RSPP dovesse far parte della stessa impresa/società di consulenza X del DPO o addirittura RSPP e DPO sono la stessa persona, quest’ ultimo nel valutare la congruità dei trattamenti dati svolti dall’ente con le norme del GDPR, si troverà a verificare/controllare anche il trattamento dei dati posto in essere dalla sua stessa società di consulenza X. La domanda da porre è: il DPO è in grado di garantire l’indipendenza e l’imparzialità che contraddistingue la sua posizione? Con molta probabilità no.
Inoltre, se è vero che a determinare il conflitto di interessi è il tipo di attività svolta, allora, credo si possa affermare che, in questo caso specifico, l’attività del RSPP è in contrasto con l’attività svolta dal DPO, perché il controllore (DPO/società di consulenza X) controlla il controllato (RSPP/società di consulenza X), ed in questa particolare situazione si configura un conflitto di interessi.
Mi farebbe piacere avere un riscontro. Grazie
Ho trovato anche questo:
A mio parere è da evitare la doppia nomina su medesimo soggetto.
Concettualmente “stride”.
Le considerazioni che ha fatto sono corrette e condivisibili. Parlare di conflitto di interessi è opportuno ma andrebbe valutato caso per caso.
E’ più una questione di accountability…rendicontazione…valutazione dei pro e dei contro…privacy by design…
si è in grado di dimostrare l’autonomia dei ruoli in capo alla medesima persona? → No → evitare la doppia nomina
Grazie per il riscontro.
Sono pienamente d’accordo.