NEWS

 

Data Protection Officer: questioni di nomina, competenze, e incompatibilità

I dati personali costituiscono una risorsa cardine per le organizzazioni e la loro protezione è centrale sia a fini privacy che di tutela di un asset primario. I processi di trattamento, che includono anche la security, richiedono un'attenta formalizzazione dei ruoli e delle responsabilità fra cui quella, centrale, del Responsabile della Protezione dei Dati (Data Protection Officer), introdotta dal GDPR.

Sulla base di alcune pronunce giurisprudenziali, afferenti oltre all’ambito privacy anche quello della salute e sicurezza sul lavoro, possono essere individuati alcuni utili parametri per approfondire il ruolo e responsabilità del Data Protection Officer con riguardo al profilo delle competenze e a quello delle incompatibilità / conflitto di interesse, e ipotizzare le possibili azioni di mitigazione dei rischi di non compliance alle disposizioni europee e nazionali in materia di privacy.

Sotto il profilo della nomina, va in primo luogo citata l’ordinanza Tribunale di Udine (2 agosto 2024, n. 504) riguardante il caso di una dipendente che si era rifiutata di firmare la nomina come elemento autorizzato al trattamento dei dati personali. La parte datoriale, ritenendo ciò non compatibile con il suo utilizzo, aveva sospeso l’interessata dal servizio e dalla retribuzione.

Il Giudice del lavoro, adito in via cautelare dall’interessata, ha ritenuto non censurabile il comportamento della parte datoriale atteso che “La mancata accettazione da parte del lavoratore dell’incarico conferitogli porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante”.

Il Tribunale ha chiarito che tale nomina è un obbligo unilaterale imposto dal datore di lavoro, laddove le mansioni del dipendente prevedano il trattamento di dati personali e quindi non opponibile dal dipendente. Quindi: la mansione non può essere oggetto di rifiuto.

Va ricordato che l’art. 2-quaterdecies del Codice Privacy prevede che “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta” (anche se il GDPR non fornisce, al riguardo, alcuna indicazione sulle formalità).

Ma come si può prospettare la questione per un dipendente che venisse individuato per il ruolo di Responsabile della Protezione dei Dati se questi ritenesse di opporsi alla designazione?

Secondo il GDPR, il Responsabile della Protezione dei Dati deve essere in possesso di adeguate qualità professionali – con particolare riguardo a norme e prassi in materia di privacy – e capace di assolvere i compiti previsti dall’art. 39 del Regolamento UE, che sono informativi, di consulenza, supervisione, di vaglio delle valutazioni d’impatto e di intermediario nei rapporti con l’Autorità Garante. Alcune indicazioni sono fornite dal Garante privacy Documento di indirizzo per il RPD in ambito pubblico, in particolare nel paragrafo “5. Qualità professionali e possesso di titoli”. In argomento giova ricordare un provvedimento del 2021 dell’Autorità Garante lussemburghese (che per la verità non si è tradotto, né poteva, in un “benchmark tassativo”) secondo cui presso realtà complesse il Data Protection Officer deve essere in possesso di almeno 3 anni di esperienza professionale.

La persona individuata non deve, quindi essere un esperto fiduciario del titolare, bensì un soggetto competente e in possesso di capacità relazionali ma che si pone in posizione terza.

Ciò premesso, una prima circostanza in cui il rifiuto di assumere l’incarico di Responsabile della Protezione dei Dati può essere intravista nel caso che l’interessato valuti di non essere in possesso dei requisiti richiesti. A fronte di tale diniego il titolare, salvo che il curriculum della persona non consenta di evincere già il possesso della qualificazione prevista, potrebbe definire con l’interessato un percorso per maturare i requisiti richiesti.

L’adozione di provvedimenti disciplinari potrebbe superare la prova del Giudice del lavoro solo se le competenze del dipendente coinvolto siano con evidenza tali da poter permettere lo svolgimento del ruolo in esame in maniera adeguata.

Se invece il nominando Data Protection Officer, pur autovalutando una inadeguata padronanza della materia e ritenesse comunque di accettare l’incarico (magari anche nella considerazione che responsabilità precipue a suo carico non vengono previste dal GDPR), con tale comportamento indebolirebbe il complessivo sistema privacy dell’organizzazione e sarebbe comunque passibile di chiamata in giudizio per risarcimento danni dal titolare, nel caso di provvedimenti o sanzioni che venissero presi a carico di quest’ultimo per criticità che venissero rilevate rispetto alle previsioni in materia di trattamento dei dati personali.

Alcuni pronunciamenti in ambito salute e sicurezza sul lavoro, con riguardo alla figura del Responsabile del servizio di prevenzione e protezione (figura a cui può essere assimilato – per taluni versi – il Responsabile della Protezione dei Dati come già approfondito in altra occasione) sono utili per proseguire il discorso con riguardo sia alla fattispecie della incompatibilità.

Si tratta di due sentenze della Corte di Cassazione, entrambe incentrate, per diversi motivi, sul rifiuto di ricoprire il ruolo di RSPP:

- la n. 19965 / 2006 della Sezione lavoro, che ha dato ragione all’interessato, dichiarando illegittimo il licenziamento, in quanto lo stesso ricopriva già il ruolo di Rappresentante dei lavoratori per la sicurezza, ruolo incompatibile con quello di RSPP (incompatibilità poi recepita nell’art. 50 del D Lgs 81/2008). In maniera netta nella sentenza si afferma: “Concentrare nella stessa persona le funzioni di due figure cui il legislatore ha attribuito funzioni diverse, ancorché finalizzate al comune obiettivo della sicurezza del lavoro, significa eliminare ogni controllo da parte dei lavoratori, atteso che il controllato ed il controllante coinciderebbero”;

- la n. 34553 dello scorso dicembre con cui la Corte non ha questa volta accolto le ragioni di un dipendente che aveva rifiutato l’incarico di Responsabile del Servizio di Prevenzione e Protezione (RSPP), dallo stesso in un primo momento motivato osservando l’inconciliabilità con altre mansioni assegnate (da cui era poi stato sollevato) e poi per il rifiuto ritenuto dalla Corte “assolutamente generico ed immotivato” per manifesta incompatibilità con lo stesso datore di lavoro.

Quali indicazioni possiamo derivarne per il Responsabile della Protezione dei Dati? Che eventuali conflitti di interesse con altri incarichi deve essere tenuta presente sia dal titolare che dal Data Protection Officer sia in sede di nomina che nel corso dell’espletamento del ruolo (art. 38.6 GDPR).

Nel caso di conflitti di interesse, laddove non provveda il titolare a evitarne l’occorrenza (o ad adottare misure di sterilizzazione del conflitto), in capo al Data Protection Officer sorge la responsabilità e l’onere di rappresentare al titolare tale situazione e farsi parte attiva, in considerazione delle competenze che dovrebbero essere proprie, per esplicitare in sede di nomina tale conflitto ovvero, in prosieguo, il sopraggiungere di tale evenienza.

I motivi possono essere diversi (in argomento cfr. anche il paragrafo “10. Incompatibilità con altri incarichi e conflitto di interessi” del predetto Documento di indirizzo del Garante nonché le Linee guida del W29 sul Data Protection Officer del 2017) come la contestuale responsabilità di processi o Strutture che trattino dati personali o assegnazione di ruoli come quello di Responsabile della prevenzione della corruzione e della trasparenza.

Come evidenzia il Garante, la questione dell’incompatibilità va inquadrata avendo anche riguardo alla dimensione e complessità dell’organizzazione. In ogni caso, laddove si rilevi il fumus di una possibile incompatibilità e si intenda comunque procedere, la questione andrebbe motivata e documentata.

Meglio ancora sarebbe individuare ex-ante individuare le qualifiche e funzioni per le quali vi sarebbe incompatibilità e le misure da adottare per mitigare il rischio nel caso si confermi la pluralità di ruoli per il Responsabile della Protezione dei Dati (RPD).

Una questione poco trattata, ma rilevante, si pone poi con riguardo all’eventualità che nel caso di avvicendamento nella carica di Responsabile della Protezione dei Dati, quale che ne sia il motivo - rotazione periodica degli incarichi, job market interno, collocamento a riposo del precedente RPD, … - il nuovo nominato rilevi che il proprio predecessore abbia operato in quella che ritiene una evidente incompatibilità di ruolo.

Che dovrebbe fare a questo punto il nuovo Responsabile della Protezione dei Dati? Se sotto il profilo soggettivo la situazione per l’organizzazione può ritenersi risolta con l’avvicendamento nel ruolo, sotto il profilo oggettivo si pone una questione delicata con riguardo alle attività svolte dal precedente RPD.

L’ipotesi che andrebbe vagliata con attenzione da parte del nuovo Responsabile della Protezione dei Dati, mettendone a conoscenza il titolare, è la decisione circa l’esigenza di sottoporre a disamina le valutazioni e i pareri resi del precedente RPD almeno per i trattamenti che rientrino nell’ambito di quella che era l’ulteriore funzione (incompatibile) svolta.

Tale azione, che dovrebbe essere condotta con la necessaria sollecitudine, andrebbe esperita anche se il titolare (o i suoi delegati) non la reputassero rilevante rientrando, comunque, sotto l’autonoma azione di supervisione di cui all’art. 39.2 del GDPR. Analoga esigenza si pone nel caso di avvicendamento per tardiva presa cognizione dell’incompatibilità e successiva.

Più delicata la evenienza che una volta che il titolare si renda conto di una situazione di evidente incompatibilità, il soggetto designato come Responsabile della Protezione dei Dati venga sollevato dalle altre funzioni: in questo caso come poter garantire tutti gli stakeholder che le determinazioni sino a quel momento assunte come RPD non fossero teoricamente censurabili per profili di conflitto di interesse?

Premesso che questa dovrebbe essere una situazione rara, in quanto sarebbe preferibile avvicendare il RPD in esame, rimarrebbe la possibilità di inserire nella pianificazione di audit i processi (anche a campione incentrandosi su quelli con maggiori profili di rischio operativo) che afferiscano a interventi del RPD con fumus di conflitto di interesse, in quanto afferenti alla/ealtre funzioni prima contestualmente assolte, per vagliare eventuali misure di intervento.

In sostanza, il Responsabile della Protezione dei Dati non potrà appellarsi dietro un “io non c’ero e quindi non sapevo”, in quanto il suo è un ruolo che si deve svolgere sempre nell’attualità, consapevole del passato e rivolto al futuro.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev Email aziendale del dipendente, vietati i controlli retroattivi

Galleria Video

Privacy Day Forum: il servizio di Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza