L'amministratore di sistema può ricoprire anche il ruolo di DPO?

La società che svolge attualmente il ruolo di amministratore di sistema del nostro istituto ha proposto una integrazione del contratto perchè il suo amministratore svolga anche il ruolo di DPO con una integrazione del contratto stesso. Preciso che nell'integrazione ha proposto di decadere dal ruolo di amministratore di sistema per evitare possibili incompatibilità con il ruolo di DPO. I servizi attualmente erogati dalla società sono di assistenza informatica sulla rete segreteria e didattica e includono l'intervento in situ e da remoto sui pc della segreteria, la gestione del firewall per la navigazione internet su entrambe le reti, la manutenzione dei pc (interventi tecnici hardware), consulenza su privacy e trasparenza. La società che fa capo all'amministratore di sistema, quando effettua interventi da remoto o in situ, ha accesso a tutti i dati presenti nel pc oggetto dell'intervento. E' possibile nominare questa figura come DPO mantenendo in essere tutta la parte del contratto relativa alla assistenza informatica? Oppure questa attività rientra tra quelle che il DPO deve "controllare" permanendo quindi in conflitto di interessi? Distinti saluti

A nostro parere sussiste comunque una situazione potenziale di conflitto di interessi, proprio perchè questa attività rientra tra quelle che il DPO deve controllare. Su questo punto, come già fatto in altre risposte, riportiamo un estratto delle linee guida del Gruppo Art. 29, che riunisce i Garanti della privacy europei e che a dicembre 2016 ha dato indicazioni sulla nomina del DPO. Nel testo del documento si legge quanto segue: ------------ "L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati." ----------- Appare evidente che, sebbene si "spogli" dal ruolo di amministratore di sistema, rimangono intatti i poteri della Ditta in ordine non alle finalità ovviamente, ma alle modalità e ai mezzi del trattamento, anche in ragione del fatto che, con altissime probabilità, la scuola non ha al suo interno soggetti in grado di prendere decisioni sul punto e si affida alla ditta in ragione del rapporto di fiducia. Quindi, per concludere, il rapporto di incompatibilità a nostro parere permane, perchè alla fine, sulla parte informatica, il DPO dovrebbe autovalutarsi, in sostanza dovrebbe aiutare il titolare del trattamento, vale a dire la scuola, a dare un giudizio di adeguatezza sul proprio operato.