Tar Puglia – sentenza n.1468 del 2019
Esternalizzare il rischio è una delle soluzioni possibili quando non si dispone di mezzi adeguati o non viene considerato accettabile. Da tempo si assiste ad un fenomeno in contrasto con lo “spirito della legge” per quanto riguarda la nuova figura del responsabile della protezione dei dati (RPD), altrimenti noto con l’acronimo mediato dall’inglese di DPO (data protection officer). Prevista dal Regolamento europeo sulla tutela dei dati personali (GDPR), l’esternalizzazione si è trasformata in una sorta di pesca a strascico di nomine di RPD/DPO, situazione lamentata anche dal segretario generale del Garante per la protezione dei dati personali, Giuseppe Busia.
Uno dei fattori, che attualmente contribuisce ad una pericolosa diminuzione del ruolo del RPD/DPO, è rappresentato proprio dalle modalità di selezione. In relazione a queste modalità, qualche volta “precarie” (per usare un eufemismo), i Garanti europei ed in special modo quello italiano, sono stati chiari e hanno inciso nella pietra i principi di competenza e di tendenziale esclusività dell’attività prestata dal RPD, da rapportare ai volumi dell’attività (WP243 rev.01 – Linee guida sui responsabili della protezione dei dati RPD adottate dal Gruppo Art. 29).
Questa figura, centrale nell’impianto del GDPR, è, purtroppo, decisamente a rischio nella quotidianità: svilita talvolta dal reclutamento di persone senza le necessarie conoscenze specialistiche, talaltra confusa con un privacy manager, spesso pregiudicata nella sua autonomia e indipendenza dall’organizzazione aziendale. Ovviamente il RPD/DPO “demansionato” condiziona il recepimento e l’adeguamento all’adozione del RE 2016/196.
Per tale motivo è particolarmente significativa la Sentenza n.1468/2019 del Tar Puglia (sezione di Lecce), pubblicata il 13 settembre 2019, che interviene in materia di procedura di designazione del responsabile della protezione dei dati: ha il pregio di mettere al centro dell’attenzione il sistema di reclutamento dei DPO.
Non è una sentenza “di ampio” respiro ma riconosce al DPO una funzione di alta specializzazione, che non si improvvisa dall’oggi al domani e che non può essere solo un’occasione per diversificare il business, senza garanzia di qualità della prestazione, agguantata magari con spregiudicate politiche di dumping, soprattutto nelle procedure di evidenza pubblica bandite dalle varie pubbliche amministrazioni.
La sentenza annulla l’aggiudicazione di un incarico biennale di RPD/DPO a una società a responsabilità limitata (s.r.l.), che ha indicato, per lo svolgimento dell’attività, un consulente esterno. La motivazione del provvedimento è questa: la s.r.l. ha designato all’ufficio di DPO una persona esterna alla società, senza precisare e provare che quest’ultima “appartiene” alla società. Manca, secondo la pronuncia, la prova dell’appartenenza.
Secondo il Tar, la situazione (società nominata Dpo, la quale designa un soggetto esterno alle funzioni per lo specifico titolare del trattamento, ovvero ”incaricato”, senza provare l’appartenenza dello stesso) viola il Regolamento Ue 2016/679, da considerarsi nella interpretazione fornita dalle già citate Linee Guida WP243. A detta del Tar sarebbe una interpretazione “autentica”. L’ analisi delle Linee Guida evidenzia, nella parte in cui danno atto del fatto che, qualora la funzione di RPD sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”.
Il concetto di “appartenenza” (testualmente usato nelle Linee Guida del WP29) è diverso dal concetto di “dipendenza” usato dall’articolo 2094 del codice civile (“prestatore di lavoro subordinato”): il primo fa riferimento a un coinvolgimento, ma non necessariamente ad una messa a disposizione del proprio tempo e alla soggezione ad un potere direttivo e di ordine, tipico del lavoro subordinato. Tra l’altro, sarebbe ben strano che la persona fisica, che svolge la funzione di RPD/DPO, debba essere indipendente rispetto al titolare del trattamento, ma debba obbedire agli ordini dell’ente, cui la funzione è deferita.
Interessante l’interpretazione data sulla natura delle Linee Guida dell’ex WP29 e la questione riguarda anche lo status del Comitato Europeo per la protezione dei dati – EDBP: secondo i magistrati amministrativi si tratta di “atti di interpretazione autentica”. Stando alle definizioni generali, l’interpretazione autentica di un testo normativo è formulata dallo stesso organo che ha redatto il testo. La formulazione, che si legge nella sentenza, deve essere colta nel suo significato traslato, dando atto dell’autorevolezza dell’interpretazione legato all’importanza del comitato europeo, l’EDBP (la forza del pulpito).
La sentenza fa emergere l’obiettivo di vincolare alle proprie responsabilità la persona fisica incaricata (che è l’esigenza sostanziale, del tutto condivisibile, posta dal Tar alla base dei propri ragionamenti) che può essere raggiunto con idonee clausole contrattuali interne, in cui si indichi il dettaglio degli obblighi e degli impegni assunti. Tutto ciò non toglie che, al di là delle possibili differenze di opinioni giuridiche, è inequivocabile la garanzia della qualità del servizio, reso da chi effettua la funzione di RPD/DPO, attestata da un rigoroso percorso di formazione (come descritto dall’Art 38 del GDPR e dalle LG recepite dai Garanti) e da una seria e affidabile attestazione delle competenze.
BIBLIOWEB:
- Tar Puglia (sezione di Lecce) sentenza n.1468/2019, pubblicata il 13 settembre 2019 (in PDF allegato)
- WP243, revisione 0.1 – Linee guida sui responsabili della protezione dei dati – adottate il 13 dicembre 2016 ed emendate in data 5 aprile 2017 (vedi in PDF allegato – versione italiana) https://ec.europa.eu/info/law/law-topic/data-protection_en
- RPD nel Sito Garante per la protezione dei dati personali https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7388193
- GDPR Slow http://newmicro.altervista.org/?p=6362
- Il DPO, L’uomo della Privacy http://newmicro.altervista.org/?p=5287
- Non c’è Privacy senza DPIA http://newmicro.altervista.org/?p=5089
- Privacy & Rischio http://newmicro.altervista.org/?p=4187
TAR Puglia (sezione di Lecce) – Sentenza n.1468/2019, pubblicata il 13 settembre 2019 (PDF)
Linee guida sui responsabili della protezione dei dati – emanate il 13 dicembre 2016_emendate al 5 aprile 2017 (PDF)