Se la funzione di responsabile della protezione dei dati è svolta da una persona giuridica, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come RPD (persona fisica) sia “appartenente” alla persona giuridica, e tale “appartenenza” deve essere provata.
TAR Puglia, Lecce, sez. III, sentenza 13 settembre 2019, n. 1468, Pres. Enrico d’Arpe – Est. Massimo Baraldi
A margine
Fatto – Un comune aggiudica, a seguito di gara informale, l’incarico di Responsabile della protezione dei dati personali (RPD o DPO) ad una Società a responsabilità limitata.
La sentenza – Il TAR Lecce, in accoglimento del ricorso di un offerente, annulla l’affidamento e gli atti impugnati, in quanto la Società aggiudicataria non ha provato l’appartenenza della persona fisica svolgente le funzioni di RPD alla persona giuridica affidataria del servizio per essere dipendente o legato da un contratto di servizio o da altro un valido vincolo giuridico idoneo ad integrare il requisito dell’appartenenza.
Annotazioni a margine – – L’art. 37 del Regolamento (Ue) 2016/679 (GDPR) prevede, in determinati casi, l’istituzione di una figura, il Data Protection Officier (DPO), con il ruolo di supervisore e garante dell’osservanza delle normative europee in materia di protezione dei dati personali all’interno di aziende, enti e associazioni. Tale figura è obbligatoria per le amministrazioni pubbliche.
Tale peculiare incarico può essere affidato ad un soggetto designato all’interno dell’organizzazione, quindi un dipendente della stessa, ovvero ad un soggetto esterno.
Trattandosi di una figura introdotta di recente, almeno in Europa, sono sorte non poche problematiche riguardo l’interpretazione della relativa normativa.
In particolare, nell’ipotesi in cui venga designata, quale DPO, una persona giuridica esterna, ci si chiede a quale titolo debba rispondere quest’ultima ove si verifichino danni o inadempimenti dovuti a negligenza del soggetto incaricato.
A tal proposito è interessante l’orientamento del TAR Puglia – sezione di Lecce con la sentenza in commento in tema di indicazione dei requisiti richiesti in capo allo specialista designato. I giudici amministrativi hanno infatti accolto il ricorso e annullato il provvedimento di aggiudicazione in capo ad una società di consulenza, di un incarico biennale come DPO per un Comune, per mancanza del requisito dell’appartenenza del soggetto incaricato alla stessa società aggiudicatrice.
Nel caso in esame, infatti, detto soggetto non era né un socio né un dipendente della società stessa. Pertanto, se ne deduce che, qualora il responsabile del trattamento decida di affidare l’incarico di DPO ad una persona giuridica esterna e autonoma, le relative funzioni di Responsabile Protezione Dati (R.P.D.) devono essere necessariamente svolte da un membro della stessa oppure da una persona fisica legata alla società da un contratto di servizio o da un valido vincolo giuridico idoneo ad integrare il requisito dell’appartenenza.
Oltre ai numerosi ed interessanti spunti che offre la sentenza in esame, è utile altresì richiamare, sempre in relazione alla suddetta problematica, il documento n. 243 del gruppo di lavoro WP29 in data 13.12.2016, che riporta le linee guida sui responsabili della protezione dei dati personali.
Al punto 5.7 del suddetto documento è chiaramente specificato che “Il RPD può far parte del personale del titolare del trattamento o del responsabile del trattamento (RPD interno) ovvero “assolvere i suoi compiti in base a un contratto di servizi”. In quest’ultimo caso il RPD sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica”.
Una preventiva consultazione dell’Autorità, tra l’altro espressamente prevista dal Regolamento Europeo (si segnala in Italia lo sportello URP del Garante), avrebbe potuto, nel caso in esame, evitare ogni problema interpretativo sin dal momento della stesura del bando di gara.
Pertanto in questi casi non vi sono dubbi che è sempre necessario formalizzare dal punto di vista contrattuale il rapporto che intercorre tra lo specialista chiamato a ricoprire il ruolo di DPO e la società appaltante, magari tramite un accordo di prestazione professionale specificando nell’oggetto del contratto non solo la prestazione ma anche le relative responsabilità, in modo da soddisfare tutti i requisiti fissati dal GDPR.
Occorre infine rilevare come una figura come quella del DPO, connotata da un così elevato rischio professionale e da una non meno importante responsabilità, non abbia l’obbligo di un’assicurazione professionale, a differenza di tante altre figure dello stesso tipo.
Alla luce di quanto esposto, sarebbe senza dubbio auspicabile una pronuncia dell’Autorità Garante per la Protezione dei Dati Personali, volta a sollecitare il legislatore ad una più precisa definizione dei requisiti e delle competenze necessarie per ricoprire tale ruolo.
Questo vuoto normativo potrebbe dare luogo a non trascurabili problemi di individuazione del soggetto responsabile in caso di danni o inadempimenti, anche gravi, imputabili al DPO.
dott. Giammarco Miele