Il Data Protection Officer interno: come garantirne l’indipendenza?

Con l’entrata in vigore del Regolamento UE 2016/679 (“GDPR”), le organizzazioni sono state chiamate a valutare se fosse opportuno o necessario nominare la figura del Data Protection Officer (“DPO”) e, in caso affermativo, se affidare tale ruolo di garanzia a soggetti interni oppure esterni all’organizzazione medesima.

Occorre premettere che la normativa ammette l’affidamento dell’incarico sia ad un soggetto interno all’organizzazione, sia ad un consulente esterno, e non opera alcuna distinzione circa i requisiti richiesti intorno a tale figura. Tale scelta è pertanto rimessa alla discrezionalità del titolare/responsabile, che dovrà declinare i requisiti normativi previsti alla situazione concreta e valutare quale soluzione gli consenta di rispettarli al meglio.  

Tra le varie disposizioni del GDPR, quella che merita particolare attenzione attiene all’obbligo per il titolare/responsabile di garantire l’indipendenza funzionale e l’autonomia del DPO (art. 38 GDPR e considerando 97 del GDPR).

Proprio recentemente, con sentenza n. 453/21 del 09/02/2023, la Corte di Giustizia dell’UE (“CGUE”) si è pronunciata in merito alla figura del DPO, in particolare su una vicenda vertente sulla rimozione dall’incarico di un DPO interno e sul potenziale conflitto di interessi che si può configurare quando tale ruolo viene ricoperto da un soggetto interno all’organizzazione aziendale.