Revoca del DPO: ammesse disposizioni più protettive purché compatibili con il GDPR
L’affermazione armonizzata del Regolamento UE 2016/679 (GDPR) nei vari Paesi dello Spazio Economico Europeo (SEE) è un percorso "in progress". La sezione VII del GDPR “Cooperazione e coerenza” prevede meccanismi di interazione fra le varie Autorità privacy nazionali”, con il coinvolgimento se del caso della Commissione europea; un ruolo importante è assegnato al Comitato europeo per la protezione dei dati (EDPB), di cui si rammenta la "Letter to EU Commission on procedural aspects" inviata alla Commissione il 7 ottobre dello scorso anno per proporre una “wishlist” finalizzata all’armonizzazione di procedure e pratiche delle Autorità garanti nazionali.
Va da sé che tutte le Istituzioni coinvolte partecipano a questa costruzione, incluse le sentenze delle Autorità di giustizia nazionali ed europea.
In questa sede ci si sofferma su un recentissimo pronunciamento della Corte di Giustizia della Comunità Europea (CGUE), inerente alle guarentigie per il Responsabile della protezione dei dati (o Data Protection Officer), che sono previste dal GDPR e dalle diverse disposizioni nazionali (CGUE Sesta Sezione, sentenza C-453 21 – edizione provvisoria – 09.02.2023).
Il merito della questione rimessa alla CGUE è incentrato sulla interpretazione e applicabilità di alcune previsioni dell’art. 38 del GDPR: il punto 3 circa la protezione del responsabile della protezione dei dati e il punto 8 circa il conflitto di interessi.
A base dell’intervento della CGUE vi è la rimozione, da parte dell’impresa tedesca X-FAB, del proprio DPO, incarico assegnato a un dipendente che contestualmente ricopriva la carica di presidente del relativo Consiglio aziendale (organismo previsto nel diritto tedesco come rappresentativo di tutti i lavoratori e che partecipa al sistema di cogestione aziendale) e di vicepresidente di tale Consiglio in alcune società di gruppo.
Tale rimozione, avviata nel 2017 dietro richiesta della Commissione per la protezione dei dati e la libertà di informazione della Turingia, e reiterata a titolo cautelativo con l’entrata in vigore del GDPR, era stata promossa in quanto ritenuto sussistente un rischio di conflitto di interessi a fini privacy nell’esercizio contemporaneo delle funzioni di responsabile della protezione dei dati e di presidente del Consiglio aziendale.
La persona interessata aveva contestato la rimozione ottenendo nei primi due gradi di giudizio pronunciamenti a suo favore; il successivo ricorso per cassazione della X-FAB, alla Corte federale del lavoro tedesca, ha condotto alla sottoposizione alla CGUE dei menzionati punti del GDPR, in quanto la decisione da prendere è strettamente connessa all’interpretazione del diritto dell’Unione.
In particolare l’intervento della CGUE è incentrato in particolare due questioni:
a) se l’articolo 38, paragrafo 3, seconda frase, del GDPR osti a che la normativa di uno Stato membro subordini la rimozione di un DPO a condizioni più rigorose di quelle previste dal diritto dell’Unione. Ciò in quanto la normativa nazionale tedesca sulla privacy dispone che “Non è ammessa la risoluzione del rapporto di lavoro [con il Data Protection Officer] se non in presenza di fatti tali da consentire all’organismo pubblico una risoluzione per giusta causa senza preavviso”;
b) in caso di risposta negativa alla prima questione, se le funzioni di presidente del consiglio aziendale e di DPO di una stessa azienda possano essere esercitate da una stessa persona o se ciò comporti un conflitto di interessi ai sensi del GDPR.
Il pronunciamento della CGUE, consolida autorevolmente questioni interessanti in quanto viene affermato che ciascuno Stato può prevedere disposizioni particolari più protettive in materia di rimozione del DPO, purché compatibili con il diritto dell’Unione e, in particolare, con le disposizioni del GDPR.
In tal senso, non è da ritenere ammissibile una protezione rafforzata del DPO che ne impedisca la rimozione nell’ipotesi in cui non possa adempiere ai propri compiti in piena indipendenza a causa dell’esistenza di un conflitto di interessi comprometterebbe la realizzazione di tale obiettivo.
Ne consegue che l’ammissibilità di una normativa nazionale che consenta al titolare / responsabile del trattamento la rimozione di un proprio dipendente dall’incarico di DPO per giusta causa, anche se la rimozione non è connessa all’adempimento dei compiti dello stesso [quindi, laddove la giusta causa sia inquadrabile nel decadere della piena indipendenza a causa dell’esistenza di un conflitto di interessi], purché ciò non comprometta la realizzazione degli obiettivi del GDPR.
Sulla questione conflitto di interessi, poi, è interessante rilevare come non venga proposta una soluzione unica valida sic et simpliciter. Infatti la CGUE afferma, in via generale, che può configurarsi un conflitto di interessi laddove il DPO venga incaricato di altri compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali (compromettendo così l’esercizio indipendente delle proprie funzioni). Ma nello specifico prosegue nell’unica maniera possibile affermando che “spetta al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze pertinenti, in particolare della struttura organizzativa del titolare del trattamento o del responsabile del trattamento e alla luce dell’insieme della normativa applicabile, ivi comprese eventuali politiche interne di questi ultimi”.
Come postilla, andrebbe forse aggiunto: “la questione spetta anche, forse in primo luogo, alle Autorità Garanti nazionali”.