Le aziende nostre fornitrici di servizi tecnologici si propongono di fare il DPO

Buongiorno, nella vasta quantità di offerte che ci arrivano da aziende che si propongono di fare il DPO (o RPD che dir si voglia) della privacy, ci sono aziende nostre fornitrici di servizi tecnologici. Ma non sono incompatibili?

Anche in questo caso, vista la scadenza imminente, rispondiamo rapidamente e velocemente. La risposta è si, tendenzialmente sono incompatibili, ovviamente dipende dal tipo di servizi che offre l'azienda, ma tendenzialmente è come dite voi. Partiamo da quello che ha scritto il Garante della privacy sul suo sito: -------------- "Rispetto all'assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell'Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici). Riguardo agli ulteriori compiti e funzioni in capo al RPD, particolare attenzione andrebbe infine prestata nei casi di unico RPD tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell'atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse." -------------- E' ovvio che se una ditta esterna fornisce, ad esempio, un software gestionale cloud, un registro elettronico, un applicativo di segreteria digitale, oppure svolge le funzioni di amministratore di sistema, si pone in un ambito che va controllato e sorvegliato dal RPD e quello che è certo è che non si possono sommare le due funzioni di controllore e controllato. Quindi, fatta salva, in concreto, la necessità di appurare cosa fa effettivamente la ditta che fornisce servizi tecnologici, i due incarichi in linea tendenziale sono incompatibili.