Stop all'incetta di nomine di data protection officer
Stop alla pesca a strascico di nomine di Dpo e maggiore cura nella stesura dei contratti con chi deve effettuare il servizio. Sono questi gli effetti desumibili dalla sentenza del Tar Puglia, sezione di Lecce, n.1468/2019 pubblicata il 13 settembre 2019, che è intervenuta in materia di procedura di designazione del responsabile della protezione dei dati.
Va detto subito che l’interpretazione dei giudici amministrativi non convince sul piano dello stretto diritto in tutte le sue parti, ma ha il pregio di mettere al centro dell’attenzione il sistema di recruitment dei Dpo.
Questa figura, centrale nell’impianto del Gdpr, è, purtroppo, decisamente a rischio nella quotidianità: svilita talvolta dal reclutamento di persone senza le necessarie conoscenze specialistiche, talaltra confusa con un privacy manager, spesso pregiudicata nella sua autonomia e indipendenza.
Uno dei fattori, che contribuisce a una pericolosa deminutio del ruolo del Dpo, è rappresentato proprio dalle modalità di selezione. In relazione a queste modalità, qualche volta “precarie” (per usare un eufemismo), i Garanti europei ed in special modo quello italiano sono stati chiari e hanno inciso nella pietra i principi di competenza e di tendenziale esclusività dell’attività prestata del Dpo, da rapportare ai volumi dell’attività.
A dire il vero, il Tar Puglia si limita a dire molto meno, ma è necessario cogliere ogni spunto, anche dalla cronaca giudiziaria, per evidenziare che il Dpo è una funzione di alta specializzazione, che non si improvvisa dall’oggi al domani, e che non può essere solo un’occasione per diversificare il business, senza garanzia di qualità della prestazione, agguantata magari con spregiudicate politiche di dumping, soprattutto nelle procedure di evidenza pubblica bandite dalle varie pubbliche amministrazioni.
Tornando al Tar Puglia, la sentenza annulla l’aggiudicazione di un incarico biennale di Dpo a una società a responsabilità limitata (srl), che ha indicato, per lo svolgimento dell’attività, un consulente esterno. La motivazione del provvedimento è questa: la srl ha designato all’ufficio di Dpo una persona esterna alla società, senza precisare e provare che quest’ultima “appartiene” alla società. Manca, secondo la pronuncia, la prova dell’appartenenza.
Si premette per completezza che, come precisato dalle Linee Guida redatte in materia di Dpo dall’allora operativo “Gruppo di Lavoro Articolo 29” (WP243, adottate il 13 dicembre 2016 ed emendate in data 5 aprile 2017), la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento; in tale caso, le medesime linee guida raccomandano che ci sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente, risultando utile, in via generale, inserire relative specifiche disposizioni nel contratto di servizi.
La pronuncia del Tar si occupa del settore pubblico, passando al setaccio una selezione bandita da un comune, ma esprime un principio che ha potenzialità espansiva anche nel settore privato.
Secondo il Tar, dunque, la situazione (società nominata Dpo, la quale designa un soggetto esterno alle funzioni per lo specifico titolare del trattamento, ovvero l’”incaricato”, senza provare l’appartenenza dello stesso) viola il Regolamento Ue 2016/679, da considerarsi nella interpretazione fornita dalle sopra citate Linee Guida: a detta del Tar sarebbe una interpretazione “autentica”.
Nel dettaglio, il Tar Puglia, analizza le Linee Guida, nella parte in cui danno atto del fatto che, qualora la funzione di R.P.D. sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”.
Ebbene, secondo il Tar, come accennato sopra, questo estratto richiede inequivocabilmente il requisito dell’“appartenenza”, che va provato da documenti contrattuali significativo e coerenti. Ciò è senz’altro condivisibile, poiché non è altro che la citazione testuale delle Linee Guida.
Poi, però, il Tar adombra che il requisito della appartenenza sia soddisfatto solo da un rapporto di lavoro subordinato.
I magistrati si sono trovati di fronte a una scrittura di “incarico professionale”, sottoscritta dalla società, aggiudicataria del servizio, e dal professionista esterno. I giudici, a questo punto, rimarcano il fatto che un incarico professionale “pone seri dubbi” sull’avvenuto rispetto del requisito dell’appartenenza: l’incarico professionale (al contrario del rapporto di lavoro subordinato) lascia, dice il Tar, “autonomia nell’esplicazione dell’incarico” e qui sta il dubbio di compatibilità con il requisito della “appartenenza”.
Va evidenziato, comunque, che il Tar non chiarisce se ritiene che il rapporto tra società nominata Dpo e persona fisica designata per lo svolgimento delle funzioni debba necessariamente essere di lavoro dipendente.
La conclusione (dubitativa) del Tar è che un incarico libero professionale “pone seri dubbi” di compatibilità con il Gdpr.
Per quanto sia da evitare, soprattutto in una sentenza, qualsiasi espressione che sottolinea, crea e amplifica dubbi (dalle sentenze ci si attendono certezze), la pronuncia fornisce molti spunti di commento.
Il primo aspetto concerne la natura delle Linee Guida dell’ex WP29, e la questione riguarda anche quelle del Comitato Europeo per la protezione dei dati (Edpb): secondo i magistrati amministrativi si tratta di “atti di interpretazione autentica”. Stando alle definizioni generali, questo risultato non è condivisibile, in quanto l’interpretazione autentica di un testo normativo è formulata dallo stesso organo che ha redatto il testo. Può essere, però, che la formulazione, che si legge nella sentenza, debba essere colta solo nel suo significato traslato e voglia dare atto solo dell’autorevolezza dell’interpretazione, anziché del suo valore precettivo retroattivo.
Al di là di questo, il nocciolo del problema è se, nel caso in cui la funzione di Dpo sia assunta da un ente collettivo, quest’ultimo debba incaricare allo svolgimento delle funzioni solo ed esclusivamente un proprio dipendente, vincolato da un contratto di lavoro subordinato.
Non giunge a tanto lo stesso Tar, seppure evochi un tale risultato come quello sicuramente rispettoso della ritenuta interpretazione autentica, di cui si è detto sopra.
Peraltro è certamente sostenibile, invece, che il vincolo giuridico tra la persona fisica “incaricata” e la società/organizzazione nominata Dpo possa essere anche un contratto d’opera intellettuale e, quindi, un rapporto di libera professione.
Questo, per almeno tre ragioni. La prima è che il concetto di “appartenenza” (testualmente usato nelle Linee Guida del WP29) è diverso dal concetto di “dipendenza” usato dall’articolo 2094 del codice civile (“prestatore di lavoro subordinato”): il primo fa riferimento a un coinvolgimento, ma non necessariamente a una messa a disposizione del proprio tempo e alla soggezione a un potere direttivo e di ordine, tipico del lavoro subordinato. Tra l’alto, sarebbe ben strano che la persona fisica, che svolge la funzione di Dpo, debba essere indipendente rispetto al titolare del trattamento, ma debba obbedire agli ordini dell’ente, cui la funzione è deferita.
In secondo luogo, le Linee Guida, nello stralcio citato dal Tar, non mirano a risolvere i problemi della configurazione dei rapporti contrattuali tra società Dpo e persona incaricata dalla società; tanto che il Tar dichiara apertamente che le proprie considerazioni sono di natura deduttiva e collegabili “implicitamente” alla formulazione letterale.
In terzo luogo, l’obiettivo di vincolare alle proprie responsabilità la persona fisica incaricata (che è l’esigenza sostanziale, del tutto condivisibile posta dal Tar alla base dei propri ragionamenti) può essere raggiunto con idonee clausole contrattuali interne, in cui si indichi il dettaglio degli obblighi e degli impegni assunti.
Tutto ciò non toglie che, al di là delle possibili differenze di opinioni giuridiche, è inequivocabile che la garanzia della qualità del servizio, reso da chi effettua la funzione di Dpo, possa essere data solo da un rigoroso percorso di formazione e da una seria e affidabile attestazione delle competenze.
