În urma unei investigații efectuate ca urmare a unei încălcări a securității datelor cu caracter personal la nivelul unei societăți din Belgia (furnizor de servicii de securitate cibernetică), autoritatea de supraveghere din Belgia („DPA”) a constatat că directorul departamentelor de audit intern, managementul riscurilor și conformitate al societății (head of compliance, audit and risk) a fost numit în funcția de responsabil cu protecția datelor („DPO”).
În acest caz, DPA a considerat că există un conflict de interese și că au fost încălcate prevederile art. 38 alin. (6) din GDPR potrivit cărora DPO poate îndeplini și alte sarcini sau atribuții, însă cumularea acestora nu trebuie să conducă la un conflict de interese. În consecință, DPA a aplicat societății o amendă în cuantum de 50.000 EUR (pentru această încălcare și alte încălcări sancționate) și a impus acesteia rezolvarea conflictului de interese, considerând că societatea în cauză a acționat cu un grad semnificativ de neglijență.
În apărarea sa, societatea a argumentat lipsa conflictului de interese prin faptul că DPO-ul nu a fost implicat în procesul de adoptare a deciziilor referitoare la prelucrarea datelor cu caracter personal, având un rol doar de consultant. Totuși, DPA a infirmat susținerile societății și a decis că, în calitatea sa de director al departamentelor de audit intern, managementul riscurilor și conformitate, DPO-ul este responsabilul final în ceea ce privește prelucrarea datelor cu caracter personal la nivelul activităților de audit intern, managementul riscurilor și conformitate și nu poate să exercite în mod independent o supraveghere a activităților de prelucrare a datelor. Un alt factor care a contribuit le această decizie este faptul că societatea în cauză nu a avut implementată nicio politică de prevenire a conflictelor de interese în cazul DPO.
În acest context amintim Orientările privind responsabilii cu protecția datelor emise Grupul de Lucru Articolul 29 (în prezent EDPB) ce menționează cu titlu de exemplu funcțiile din cadrul unei organizații care, cumulate cu funcția de DPO, pot genera de principiu un conflict de interese, și anume funcțiile personalului de conducere de nivel superior, precum funcția de director general, de director general administrativ, de director financiar, de șef al departamentului de marketing, de șef al serviciului de resurse umane sau de șef al departamentului IT. De asemenea, deținerea și a altor poziții în cadrul societății ar putea da naștere unui conflict de interese, în cazul în care acestea implică atribuții ce conduc la stabilirea în concret a scopurilor și a mijloacelor de prelucrare.
Prin decizia prezentată mai sus, subiectul cumulului de funcții a fost readus în atenția operatorilor de date. Chiar dacă decizia este relativ surprinzătoare, prin aceasta, este accentuat rolul important pe care îl are realizarea unei analize de la caz la caz pentru a vedea dacă, pe lângă funcția de DPO, celelalte funcții deținute de o persoană ar putea să o împiedice pe aceasta să acționeze în mod independent, dar și importanța existenței unei politici de evitare a conflictului de interese. În plus, decizia DPA stabilește un precedent important în această materie.