Nomina del Data Protection Officer in caso di persona giuridica affidataria dell’incarico Nomina del Data Protection Officer in caso di persona giuridica affidataria dellincarico: il TAR di Lecce sancisce il criterio di appartenenza allazienda La recente pronuncia del TAR Puglia, Lecce, sez. III, n. 01468/2019 parrebbe destinata ad incidere su parecchie nomine di soggetti esercenti le funzioni di Data Protection Officer (DPO), in ossequio al recente General Data Protection Regulation (GDPR). Il caso di specie riguardava un ricorso avverso la graduatoria finale di una gara informale indetta dal Comune di Taranto, la quale atteneva al conferimento dellincarico biennale per lattuazione del GDPR e relativa individuazione del DPO. Al di là delle circostanze che caratterizzano il caso concreto, destinate a produrre conseguenze sono le conclusioni a cui perviene il TAR circa la necessità del ruolo di dipendente per il DPO di azienda affidataria dellincarico. Di fatto, il giudice amministrativo sembra stabilire che la persona fisica, la quale svolga concretamente il ruolo di DPO, qualora affidataria dellincarico risulti essere una persona giuridica, come nel caso di specie, debba necessariamente appartenere alla stessa, e dunque risultare un dipendente dellazienda affidataria del servizio. Alla base della pronuncia del Collegio sembrerebbe porsi uninterpretazione fondata sul tenore letterale della versione in lingua italiana delle Guidelines on Data Protection Officers (DPOs) del Gruppo di Lavoro articolo 29 per la protezione dei dati, adottate il 13 dicembre 2016. Infatti, nella sezione 2.5, circa le conoscenze e competenze del DPO ed in particolare circa la funzione di DPO svolta sulla base di un contratto di servizi, si afferma: è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD (Responsabile della protezione dei dati) soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD. La sentenza sembra porsi in netto contrasto con la disciplina comunitaria del GDPR, in particolare allarticolo 37, paragrafo 6, il quale si limita a prevedere che il DPO possa essere un dipendente del titolare del trattamento o del responsabile del trattamento, ovvero assolvere le sue funzioni sulla base di un contratto di servizi. A questo proposito giova, inoltre, ricordare che la versione inglese, francese e tedesca delle Linee guida non menzionino espressamente il requisito dellappartenenza (o subordinazione), ritenuto essenziale dal Collegio, limitandosi a richiedere i requisiti previsti dal GDPR. Il giudice amministrativo, quanto al valore giuridico, eleva le suddette linee guida al rango di interpretazione autentica della disciplina del GDPR, e dunque a norme cogenti. Pare, invece, che queste debbano ritenersi mere norme di soft law utili allinterpretazione della normativa europea, ma non aventi alcun valore precettivo. Inoltre, la decisione non parrebbe tener conto della prassi consolidata della nomina in qualità di DPO di persone giuridiche, le quali si avvalgono di professionisti esterni in grado di garantire una maggiore competenza tecnica e conoscenza specialistica di normativa e prassi, un maggiore aggiornamento in materia, nonché della capacità di assolvere i compiti di cui allarticolo 39 del GDPR. Lo stesso Ecc.mo Tribunale esclude, infatti, la possibilità che la funzione di DPO possa essere svolta da soggetto legato allazienda da semplice incarico professionale, il quale conferirebbe un certo grado di autonomia nellesplicazione dellincarico al suddetto soggetto, escludendo dunque che tale ruolo possa essere svolto da un soggetto che non sia legato da un rapporto non subordinato. Se il ragionamento del TAR di Lecce venisse esteso, renderebbe illegittime un numero elevatissimo di nomine per DPO a favore di persone giuridiche. Condividi