DPO e CIO ruoli incompatibili

In Germania il ruolo di DPO esiste da anni; il loro Federal Data Protection Act impone, da anni, alle aziende tedesche che hanno almeno 10 persone coinvolte nel trattamento automatizzato di dati personali la nomina del Data Protection Officer.

Recentemente il Garante per la Protezione dei Dati tedesco ha multato una società che aveva designato il proprio Chief Information Officer come Data Protection Officer, e questo nonostante la normativa consenta la possibilità di nominare sia un dipendente che un professionista esterno.

Si tratta, nello specifico caso, della più palese forma di conflitto di interessi, in quanto uno dei compiti del D.P.O. è quello di verificare che i trattamenti realizzati nei sistemi informatici (quindi decisi dal C.I.O.) siano rispondenti alle norme.