L’Anac ha confermato, in un parere non vincolante, il proprio orientamento circa la completa applicazione delle regole stabilite dai contratti pubblici nel caso di conferimento dell’incarico all’esterno della funzione DPO. L’incarico all’esterno della funzione di DPO non può qualificarsi come contratto di prestazione d’opera ex art. 2222 del Codice civile.
Il conferimento dell’incarico all’esterno della funzione DPO da parte della pubblica amministrazione deve invece qualificarsi come un appalto di servizi con il conseguente rispetto della normativa di settore e segnatamente delle Linee Guida (soft law) della stessa Autorità. Di conseguenza, non può effettuarsi tale affidamento mediante incarico di lavoro autonomo (ex art. 7, co. 5 bis, del d.lgs. 30 marzo 2001, n. 165). Vediamo le motivazioni.
Indice degli argomenti
Il confine tra incarico professionale e la prestazione di servizi
In merito al confine tra incarico professionale conferito dalla P.A., regolato dal codice civile, e la prestazione di servizi, disciplinata dal d.lgs. 50/2016, la Corte dei Conti, a più riprese, ha evidenziato che la “consulenza nell’accezione che qui rileva (rectius la collaborazione autonoma) è assimilata al contratto d’opera intellettuale, artistica artigiana, disciplinato dagli artt. 2222 e seguenti c.c. che è considerata una specie del genus contratto di lavoro.
Tale tipo negoziale ricomprende l’esecuzione di una prestazione frutto dell’elaborazione concettuale e professionale di un soggetto competente nello specifico settore di riferimento, senza vincolo di subordinazione e in condizioni di assoluta indipendenza.
Nel contratto d’opera la prestazione richiesta può assumere tanto i connotati di un’obbligazione di mezzi (ad es. un parere, una valutazione o una stima peritale), quanto i caratteri dell’obbligazione di risultato (ad es. la realizzazione di uno spartito musicale, o di un’opera artistica di particolare pregio).
DPO nel settore pubblico, il vademecum del Garante privacy: ecco i casi di conflitto di interessi
Nel contratto di appalto, l’esecutore si obbliga nei confronti del committente al compimento di un’opera o di un servizio verso un corrispettivo in danaro, con organizzazione dei mezzi necessari (di tipo imprenditoriale) e con assunzione in proprio del rischio di esecuzione della prestazione (art. 1655 c.c.).
Ne consegue che le norme in tema di appalto si palesano nelle ipotesi in cui il professionista si sia obbligato a strutturare una stabile organizzazione per l’esecuzione della prestazione, mentre la carenza di tale requisito derivante dall’unicità, dalla singolarità e puntualità dell’incarico, nonché dalla determinatezza dell’arco temporale in cui si deve svolgere la prestazione professionale, inducono a qualificare la fattispecie quale contratto di prestazione d’opera e dunque quale consulenza e/o collaborazione autonoma.
Anche il Consiglio di Stato ha rilevato come elemento qualificante l’appalto di servizi, oltre alla complessità dell’oggetto e alla predeterminazione della durata dell’incarico, sia la circostanza che l’affidatario dello stesso necessiti, per il suo espletamento, di apprestare una specifica organizzazione finalizzata a soddisfare i bisogni dell’ente. Ne deriva che “il confine fra contratto d’opera intellettuale e contratto d’appalto è individuabile sul piano civilistico in base al carattere intellettuale delle prestazioni oggetto del primo e in base al carattere imprenditoriale del soggetto esecutore del secondo.
L’appalto di servizi, pur presentando elementi di affinità con il contratto d’opera, rispetto al quale ha in comune almeno il requisito dell’autonomia rispetto al committente, si differenzia da quest’ultimo in ordine al profilo organizzatorio, atteso che l’appaltatore esegue la prestazione con organizzazione dei mezzi necessari e con gestione a proprio rischio, rivestendo normalmente la qualità di imprenditore”.
Perché applicare il codice dei contratti pubblici
Le stazioni appaltanti debbono attenersi alla disciplina di cui al codice dei contratti pubblici, in quanto la prestazione richiesta non può essere considerata come unica, singola, eccezionale e limitata nel tempo sostanziandosi invero in un affidamento di un servizio continuativo e non temporaneo, complesso, specialistico ed articolato.
Il servizio DPO non mira a sopperire ad esigenze di carattere temporaneo; infatti, l’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino (stabilmente n.d.a.) un RPD “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Pertanto la procedura è da qualificarsi come appalto di servizi e all’operatore compete l’organizzazione del servizio, in ossequio anche a quanto statuito dall’Anac nella Delibera numero 421 del 13 maggio 2020 ove si è affermato che “l’affidamento all’esterno del servizio di protezione dei dati personali si configura come un appalto di servizi e come tale soggiace alle disposizioni del codice dei contratti pubblici, con conseguente obbligo di procedere alla selezione del contraente nel rispetto delle procedure ivi previste in ragione dell’importo del contratto”.
Tale interpretazione poi del servizio DPO quale appalto di servizi tra l’altro non eluderebbe la necessaria sussistenza dei requisiti di carattere generale di cui all’articolo 80 del Codice dei contratti pubblici da parte degli operatori economici.
Inoltre, quand’anche il servizio DPO affidato all’esterno dalla pubblica amministrazione fosse qualificato come “servizio legale” non opererebbe l’esclusione dal Codice dei contratti pubblici di cui all’art. art. 17 lett. d) il quale riporta specifiche esclusioni per contratti di appalto e concessione di servizi ma al contrario si configurerebbe come un affidamento dei servizi legali di cui all’Allegato IX del Codice dei contratti pubblici e pertanto soggetto alla disciplina codicistica.
Le caratteristiche poi del contratto autonomo senza vincolo di subordinazione di cui all’art. 7, co. 5 bis, del d.lgs. 30 marzo 2001, n. 165 mal si confanno con quelle proprie dell’attività, anche di sorveglianza, del servizio di DPO/RPD in ordine alla durata del contratto e sulla possibilità di conferire il suddetto incarico ad una persona giuridica.
La durata del contratto
Il carattere continuativo del servizio di DPO pare essere confliggente con il carattere temporaneo del contratto di cui all’art. 7 del d.lgs. 30 marzo 2001, n. 165 in cui non è ammesso il rinnovo del contratto.
Sul punto anche l’Anac nella Delibera numero 421 del 13 maggio 2020 in merito alla richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO) è intervenuta affermando l’importanza della durata del contratto affermando la necessaria previsione “di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”.
La funzione DPO svolta da una persona giuridica
Deve riportarsi che la funzione di DPO possa essere svolta anche da una persona giuridica come emerge inequivocabilmente anche nelle “Linee guida sui responsabili della protezione dei dati” del WP 243 rev. 01 in cui si afferma che “La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento“. Specificando che, se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente (c.d. Team RPD/DPO).
La previsione di una certificazione DPO
Com’è noto, l’art. 37 GDPR stabilisce che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Il Wp29 nelle Linee guida sui responsabili della protezione dei dati (cfr. Allegato 10) afferma che il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.
Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del RPD, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi.
Per quanto attiene alle Qualità professionali l’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. È utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.
DPO as a Service: cos’è, cosa offre, i vantaggi per l’azienda
Cosa dice il Garante privacy
Il Garante per la protezione dei dati personali (cfr. All.11) ha confermato le suddette Linee guida nei termini di seguito riportati.
Si rappresenta (“…”) in primo luogo che, allo stato, le disposizioni non prevedono un albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni. Come in altri ambiti delle cosiddette “professioni non regolamentate”, si vanno diffondendo schemi di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori.
Tali certificazioni (che non rientrano tra quelle disciplinate dall´art. 42 del Regolamento (UE) 2016/679), rilasciate anche all´esito della partecipazione ad attività formative e alla verifica dell´apprendimento, se possono rappresentare, al pari di altri titoli, uno strumento per valutare il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD, né, allo stato, possono sostituire in toto la valutazione della p.a. nell´analisi del possesso dei requisiti del RPD necessari per svolgere i compiti da assegnargli in conformità all´art. 39 del Regolamento (UE) 2016/679.
Sotto altro profilo, secondo le citate Linee guida, la capacità di assolvere i propri compiti da parte del RPD deve essere considerata sia in relazione alle qualità personali e alle conoscenze dello stesso, sia in relazione alla posizione del RPD all’interno dell’azienda o dell’organismo pubblico.
Tutt’al più una certificazione, in ambito protezione dei dati, potrebbe essere oggetto di un punteggio aggiuntivo in sede di esame della documentazione tecnica sempreché il punteggio aggiuntivo eventualmente assegnato al concorrente appaia ragionevole rispetto ad altri titoli presentati dal concorrente come quello dell’esperienza professionale e della specifica conoscenza del settore di riferimento.
Il mancato possesso della certificazione in ambito protezione dati anche secondo lo schema UNI CEI ISO/IEC 17024 da parte della persona fisica designata dal concorrente di gara pertanto non può essere considerato come requisito ostativo all’attribuzione di un incarico DPO da parte della Pubblica Amministrazione.
Conclusione
In conclusione si ritiene che alla luce delle prestazioni da espletare, della loro complessità, del carattere costante del servizio, della necessaria predisposizione di un’organizzazione di mezzi di ricondurre l’incarico di DPO all’appalto di servizi con assoggettamento della procedura di conferimento dell’incarico alle disposizioni del Codice dei Contratti.
Inoltre, è illegittima la previsione secondo la quale all’atto del conferimento dell’incarico all’esterno della funzione DPO da parte della pubblica amministrazione preveda come requisito essenziale il certificato di competenza come Data Protection Officer in corso di validità emesso da ente terzo in conformità alla norma UNI CEI ISO/IEC 17024 in mancanza del quale l’operatore economico venga escluso dalla procedura di gara.
