Europrivacy ha partecipato alla consultazione pubblica sulle linee guida del DPO

di | 30 January 2017

Europrivacy ha partecipato alla consultazione pubblica sulle linee guida sul DPO emesse dal WP29 proponendo alcune osservazioni e uno specifico quesito.

In particolare, i commenti hanno riguardato gli aspetti inerenti il “conflitto di interesse”, elemento fondamentale di cui le linee guida esemplificano le caratteristiche per il caso in cui il ruolo di DPO è affidato ad una persona fisica, tralasciando però analoghe specificazioni per il caso alternativo dell’affidamento del ruolo all’esterno dell’organizzazione aziendale.

Riportiamo di seguito il testo del documento inviato.

 

Via e-mail a: JUST-ARTICLE29WP- SEC@ec.europa.eu and presidenceg29@cnil.fr

Re: Guidelines on Data Protection Officers (DPO) – additional comments

Gentili Signori

Considerando che:

a) le Guidelines on Data Protection Officers (‘DPOs’) al punto 2.4 “ DPO on the basis of a service contract”, chiariscono che “The function of the DPO can also be exercised on the basis of a service contract concluded with an individual or an organisation outside the controller’s/processor’s organization” e che “In this latter case, it is essential that each member of the organisation exercising the functions of a DPO fulfils all relevant requirements of Section 4 of the GDPR (e.g., it is essential that no one has a conflict of interests).

b) le indicazioni fornite per delimitare il concetto di “other tasks and duties” che possono porsi in conflitto di interesse, ben si attagliano al caso del DPO come figura interna all’organizzazione aziendale del titolare/responsabile, e ciò

  • sia quanto ai loro termini generali, espressi al punto punto 3.5: “The absence of conflict of interests is closely linked to the requirement to act in an independent manner. Although DPOs are allowed to have other functions, they can only be entrusted with other tasks and duties provided that these do not give rise to conflicts of interests. This entails in particular that the DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data. Due to the specific organisational structure in each organisation, this has to be considered case by case.” e ribaditi nella FAQ n° 10 in DPO Annex: “What are the ‘other tasks and duties’ of a DPO which may result in a conflict of interests (Article 38(6))?”
  • sia quanto all’esemplificazione delle possibili posizioni che configurano un conflitto di interessi, scelte esclusivamente nell’ambito di soggetti interni all’organizzazione aziendale del titolare / responsabile: “As a rule of thumb, conflicting positions may include senior management positions (such as chief executive, chief operating, chief financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments) but also other roles lower down in the organisational structure if such positions or roles lead to the determination of purposes and means of processing.” (nota 34);

c) analoghe specificazioni o esemplificazioni non vengono fornite invece per il caso del DPO esterno all’organizzazione aziendale, riguardo al quale l’unico riferimento presente (punto 3.5, quinto bullet) è di tipo estremamente generale: “Depending on the activities, size and structure of the organisation, it can be good practice for controllers or processors: (…) to include safeguards in the internal rules of the organisation and to ensure that the vacancy notice for the position of DPO or the service contract is sufficiently precise and detailed in order to avoid a conflict of interests. In this context, it should also be borne in mind that conflicts of interests may take various forms depending on whether the DPO is recruited internally or externally. .

 

Ciò premesso, si chiede:

di fornire qualche indicazione esplicativa relativamente allo specifico caso del DPO esterno all’organizzazione aziendale del titolare / responsabile del trattamento, fornendo esempi di “other tasks and duties” che possono porsi in conflitto di interesse anche per questa ipotesi, in particolare quando il fornitore di servizi incaricato come DPO abbia o abbia avuto in precedenza rapporti di consulenza o assistenza con il titolare / responsabile del trattamento.

Con i migliori saluti.

 

 

Giancarlo Butti

Paolo Calvi

Alessandro Crepaldi

Giampaolo Franco

Sergio Fumagalli

Chiara Giorgini

Biagio Lammoglia

Laura Maretta

Maria Roberta Perugini

Attilio Rampazzo

Andrea Reghelin

Giulio Spreafico

Silvia Stefanelli

 

Tutti i firmatari sono contributori di www.europrivacy.info

Categoria: Data Protection Officer

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.