Sta facendo discutere una sentenza del TAR Lecce, la n. 1468/2019, secondo la quale, nel caso di affidamento del servizio di DPO a una persona giuridica, il soggetto che esercita le funzioni di Data protection officer debba necessariamente essere dipendente della società stessa che offre il servizio di DPO. E non possa quindi essere un professionista esterno. Questa conclusione (che inciderebbe probabilmente su migliaia di nomine, nel pubblico e nel privato) lascia molto perplessi.
Indice degli argomenti
I problemi della sentenza del Tar del Lecce su Dpo
La censura (poi accolta) dal TAR ha il seguente tenore: “la Dr.ssa XXX deduce l’illegittimità degli atti impugnati, in quanto non risulta evidenziato il legame fra la società ISFORM S.r.l. e il sig. ZZZ. Questi non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune di Taranto per eventuali inadempimenti e/o danni provocati dal detto soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.
Il TAR ritiene fondata questa doglianza, con un ragionamento che è basato esclusivamente sul tenore letterale della versione italiana delle “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016” dell’Art. 29 Working Party (ora Comitato Comitato europeo per la protezione dei dati).
Secondo il TAR, poiché le Linee guida, nella versione italiana, affermano che “la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD”, da ciò discenderebbe, indefettibilmente, che il soggetto persona fisica indicato come DPO debba imprescindibilmente essere dipendente (o comunque legato da un vincolo contrattuale analogo) della persona giuridica.
Il TAR, in realtà, sembra lasciare uno spiraglio, laddove esista, e venga comprovato in sede di domanda di partecipazione, un rapporto contrattuale tra la persona giuridica e il DPO incaricato, ma aggiunge che questo vincolo contrattuale non può essere legato a una figura libero-professionale, perché, stante l’autonomia del libero professionista, mancherebbe il requisito dell’”appartenenza”.
Se il ragionamento del TAR fosse condivisibile, sarebbe illegittima una grandissima parte delle nomine di DPO effettuate a favore di persone giuridiche, in quanto queste ultime si avvalgono, costantemente, di professionisti esterni, che garantiscono (o meglio dovrebbero garantire) la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti richieste dall’art. 37, par. 5 del GDPR.
In realtà, le argomentazioni del TAR si prestano a più di una critica.
In primo luogo, è singolare che il TAR non consideri in alcun modo il dettato normativo primario (gli artt. 37 e ss del GDPR, e il relativo Considerando 97), ma si concentri esclusivamente sulle Linee guida, che vengono addirittura elevate a “interpretazione autentica” (così, testualmente, nella sentenza) della normativa europea.
Questa affermazione è erronea, posto che è pacifico che le Linee guida non abbiano alcuna valenza precettiva, essendo espressione tipica di soft law, utile per l’interprete, ma non certo cogente.
Il TAR avrebbe potuto, semmai, sviluppare le proprie argomentazioni sulla base delle norme, portando eventualmente a conforto le Linee guida. Ma non certo ritenere il dettato di queste ultime quale norma imperativa.
Ora, gli artt. 37 e ss. del GDPR nulla dicono sul punto, limitandosi ad affermare (art. 37, par. 6) che il “responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.
Tra l’altro, esaminando le Linee guida, è indiscutibile che l’inciso “appartenente alla persona giuridica”, su cui il TAR basa tutto il suo ragionamento, sia presente nella versione italiana, ma non si riscontri nelle altre versioni, e in particolare in quella inglese, francese e tedesca; le Linee guida, nella versione inglese, affermano che “it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR”, in quella francese “dans ce cas, il est essentiel que chaque membre de l’organisme exerçant les fonctions de DPD remplisse l’ensemble des exigences applicables établies à la section 4 du RGPD”, e in quella tedesca “In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt”.
La sintesi sembra chiara: le Linee guida si preoccupano del fatto che tutto i membri del team soddisfino i requisiti previsti dal GDPR (e godano delle relative garanzie), ma non pare affatto che impongano un rapporto di dipendenza, o (nei fatti) di para-subordinazione, come pretende il TAR, e sul quale la norma primaria tace.
Bisognerebbe semmai approfondire (ma su questo il TAR non si esprime, ritenendo sostanzialmente assorbenti i motivi relativi all’interpretazione delle Linee guida, trasformate in norma cogente) i profili legati al rispetto del D.lgs 50/2016, e, in particolare, come potrebbe essere qualificato (e inquadrato) l’apporto del professionista esterno inserito nel team DPO di una persona giuridica.
Ci si potrebbe infatti chiedere se si tratti di un subappalto ex art. 105 D.lgs 50/2016 (ma in realtà il comma 2 esclude dal novero del subappalto “a) l’affidamento di attività specifiche a lavoratori autonomi, per le quali occorre effettuare comunicazione alla stazione appaltante” e “c-bis) le prestazioni rese in favore dei soggetti affidatari in forza di contratti continuativi di cooperazione, servizio e/o fornitura sottoscritti in epoca anteriore alla indizione della procedura finalizzata alla aggiudicazione dell’appalto”), o se sia utilizzabile l’istituto dell’avvalimento, di cui all’art. 89 del Codice dei Contratti. Ma, come detto, il TAR ritiene di non affrontare in alcun modo il problema, soffermando esclusivamente la propria attenzione sulla dizione letterale delle Linee guida, trasformate in fonte primaria del diritto.
In conclusione
Insomma, si tratta di una sentenza destinata a far discutere, sia in ordine alle ricadute pratiche, sia con riguardo alla valenza delle Linee guida (un tema che si è spesso presentato all’attenzione dei giudici amministrativi, soprattutto per ciò che concerne le Linee guida dell’ANAC, che, peraltro, dovrebbero essere soppiantate da un Regolamento unico, come previsto dalle modifiche introdotte dal D.L. 18 aprile 2019, n. 32).