Se l'incarico di Dpo è affidato a una società il suo referente non deve essere per forza un dipendente
Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese.
Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.
Secondo la stazione appaltante, l’articolo 37 del Gdpr sarebbe da interpretare nel senso che il rapporto intercorrente tra la persona giuridica nominata Dpo e la persona fisica designata deve essere necessariamente un rapporto di lavoro subordinato (nel caso specifico, invece, tra la società concorrente e l’avvocato era stato sottoscritto un contratto di consulenza).
Tra l’altro, al risultato invocato dall’Asl potrebbe indurre una (superficiale) lettura della sentenza del Tar Puglia, sezione di Lecce, n.1468/2019, pubblicata il 13 settembre 2019, già commentata criticamente.
(Nella foto: Antonio Ciccia Messia, avvocato esperto di protezione dati e presidente di Persone & Privacy)
La società coinvolta (Global Com Technologies srl di Catania) ha inviato una segnalazione al Garante per la protezione dei dati, il quale ha assunto un orientamento (conforme alla tesi sostenuta nel citato commento) generalizzabile a tutte le procedure di gara pubbliche.
La nota di chiarimenti è, quindi, molto importante e le pubbliche amministrazioni non potranno non tenerne conto.
L’effetto di queste autorevoli precisazioni, dunque, è che, nel caso di un contratto di servizi tra una persona giuridica e il titolare del trattamento, il soggetto designato a svolgere le funzioni di Dpo può essere:
a) un lavoratore dipendente, vincolato alla persona giuridica con un rapporto di lavoro subordinato, oppure
b) un libero professionista/lavoratore autonomo, vincolato alla persona giuridica con un contratto di consulenza.
Vediamo i ragionamenti che stanno alla base della nota del Garante.
L’art. 37, par. 6, del Gdpr, consente al titolare/responsabile del trattamento di optare per un Dpo “esterno”, con il quale stipulare un “contratto di servizi”. In base alle Linee guida sui responsabili della protezione dei dati (WP243), adottate dal Gruppo di lavoro Art. 29 (“WP29”) il 13 dicembre 2016 ed emendate il 5 aprile 2017, l’incarico di Dpo può essere assolto anche da una persona giuridica, purché coloro che siano preposti a questi compiti siano dotati dei requisiti richiesti dal Regolamento e purché sia indicata una persona fisica che funga da referente della società presso il titolare/responsabile che lo ha designato.
Nessuna disposizione del Regolamento, rileva il Garante, richiede la sussistenza di un rapporto di subordinazione tra la persona giuridica designata quale Dpo e la persona fisica, che, per conto di tale società, funga da referente presso l’ente designante. Le Linee-guida si limitano, inoltre, a parlare di “appartenenza” della persona fisica alla persona giuridica, senza però dare, a tale concetto, alcuna precisa connotazione giuridica anche al fine di non ledere l’autonomia dei singoli ordinamenti nazionali nella disciplina dei rapporti di lavoro.
Al riguardo il Garante ha evidenziato, inoltre, che le predette Linee guida, nella versione originale in lingua inglese, fanno riferimento a “each member of the organisation exercising the functions of a DPO”, utilizzando quindi una locuzione che rimanda ad un mero coinvolgimento delle persone fisiche preposte rispetto alla persona giuridica designata. Per questa ragione, il Garante ritiene che non si possa necessariamente interpretare il concetto di appartenenza, secondo la traduzione italiana, quale un vincolo di dipendenza parificabile ad un rapporto di lavoro subordinato (come, ad esempio, quello di cui all’articolo 2094 codice civile).
Certo, ma è un altro discorso, l’ente committente può (anzi, deve) richiedere alle società candidate per l’incarico di Dpo adeguate informazioni, eventualmente comprovate da idonea documentazione, circa la persona fisica da indicare come referente.
È opportuno, inoltre, che l’ente committente inserisca, all’interno del contratto, una clausola che obblighi la persona giuridica affidataria di comunicargli qualsiasi variazione, intervenuta in sede di esecuzione, riguardante la persona fisica referente previamente individuata.
Tra l’altro il riscontro dei requisiti professionali dei Dpo si fa particolarmente stringente. È d’attualità la notizia di alcune recenti decisioni della Camera delle controversie dell'Autorità belga per la protezione dei dati (BDPA), che hanno dato adito ad interventi sanzionatori.
Interessanti i principali suggerimenti che derivano dalla giurisprudenza belga (concorde con quella italiana), tra i quali troviamo quello di verificare il grado di conoscenza approfondita della normativa sulla protezione dei dati da parte del singolo designato, anche quando si lavora con un’organizzazione di Dpo.
A tale proposito è degna di nota una decisione del 28 aprile 2020, con cui l'autorità belga per la protezione dei dati ha inflitto una sanzione amministrativa di 50 mila euro a una società per non avere sufficientemente coinvolto il DPO nelle questioni relative al trattamento dei dati e alle tutele degli interessati ed altresì per non avere adottato una idonea policy per prevenire eventuali conflitti di interesse del Dpo.
Il Garante belga si è soffermato anche sul fatto che bisogna garantire al responsabile della protezione dei dati di riferire costantemente ai vertici dell’organizzazione del titolare del trattamento e che questa possibilità non si limiti a una relazione annuale.
Da quest’ultima notazione derivano due ricadute operative, molto spesso trascurate nella prassi: l’opportunità di una relazione annuale del Dpo e un flusso di comunicazione, senza intermediari, con il board del titolare del trattamento.