Affidamento dell’incarico di DPO in una Pubblica Amministrazione ad un soggetto esterno: sul tema si è pronunciato recentemente il Tar di Lecce. Se l’orientamento espresso dai giudici amministrativi venisse confermato, potrebbe comportare l’illegittimità di molti degli incarichi già affidati. Ecco perché è utile analizzare i criteri per la nomina della figura del DPO in ambito pubblico, secondo quanto previsto dal GDPR, dall’European Data Protection Board e dai recenti orientamenti giurisprudenziali.
Diciamo subito che la sentenza del TAR di Lecce, la n. 1468/2019, depositata il 13 settembre scorso, è un caso molto interessante che riguarda l’affidamento del servizio di DPO a una persona giuridica esterna alla pubblica amministrazione. Secondo il TAR, il soggetto che esercita la funzione di Data Protection Officer dovrebbe essere necessariamente un dipendente della società stessa che offre il servizio di DPO.
Il compito del Data protection officer
Per capire la questione, bisogna ricordare che tra le novità introdotte dal Regolamento UE 2016/679, c’è la figura del Responsabile della Protezione dei Dati (RPD), conosciuto anche con il termine anglofono “Data Protection Officer” (DPO).
Il DPO è una professionalità con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Può essere sia interno che esterno all’organizzazione: in ogni caso deve godere di autonomia decisionale e quindi non essere sottoposto a pressioni da parte del titolare. Il suo compito è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, sia essa pubblica o privata, affinché questi siano trattati nel rispetto delle normative comunitarie e nazionali sulla privacy.
Quali sono i soggetti tenuti alla designazione del DPO ai sensi dell’art. 37, par. 1, lett. a), del GDPR? Secondo quanto previsto all’art 37 del GDPR sono tenuti obbligatoriamente alla designazione del responsabile della protezione dei dati personali, tutte le autorità pubbliche o organismi pubblici che effettuino trattamenti di dati personali, con l’unica eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
Il Regolamento non fornendo una definizione di “autorità pubblica” o “organismo pubblico”, ne rimette l’individuazione al diritto nazionale applicabile, così come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida).
A titolo di esempio, sono tenuti alla nomina di un DPO tutte le amministrazioni dello Stato (anche con ordinamento autonomo), gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti, etc.
Tuttavia, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), la nomina del DPO, seppure non obbligatoria, appare fortemente raccomandata.
Che certificazioni deve avere il DPO
Il livello di conoscenza specialistica richiesto al DPO non trova una definizione tassativa. Ai sensi dell’art. 37, paragrafo 5, GDPR, la figura del DPO è designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa, delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’articolo 39 Gdpr. Il considerando 97 del Regolamento, inoltre, prevede che il livello necessario di conoscenza specialistica sia determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Una conoscenza, quindi, proporzionata alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.
Tuttavia, come accade nei settori delle cosiddette “professioni non regolamentate”, alcuni enti certificatori hanno diffuso schemi proprietari di certificazione volontaria delle competenze professionali. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del GDPR) sono rilasciate all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.
Come precisato però dal Garante, non esistono specifiche attestazioni formali per diventare DPO. Le certificazioni rilasciate a seguito di iter formativi, pur rappresentando, al pari di altri titoli, uno strumento utile ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, non abilitano allo svolgimento del ruolo del DPO, né sono idonee a sostituire il giudizio, rimesso al titolare, nella valutazione dei requisiti necessari al RPD per svolgere i compiti di cui all’art. 39 del GDPR.
Il DPO nella PA: esterno o interno?
Il ruolo di DPO, secondo quanto disposto all’art. 37, paragrafo 6 GDPR, può essere ricoperto da un dipendente del titolare o del responsabile, che non si trovi in conflitto di interessi e che conosca la realtà operativa in cui avvengono i trattamenti.
L’incarico, inoltre, può essere affidato anche a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti fissati dal Regolamento. In tal caso, affermano le Linee guida, le funzioni del DPO saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica.
In questo caso, sarà opportuno valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.
In ogni caso, sia il DPO un dipendente o un soggetto esterno all’organizzazione, non dovrà ricevere istruzione alcuna per quanto riguarda lo svolgimento delle sue funzioni e l’esecuzione dei compiti affidatigli (art. 38, par. 3, del RGPD). Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
Alla luce delle considerazioni effettuate, nel caso in cui la scelta sia orientata su una figura interna all’ente, sarebbe preferibile far ricadere la designazione su un dirigente o un funzionario di elevata professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
L’atto di designazione di un DPO
Nel caso in cui la scelta del DPO ricada su una professionalità “interna” all’ente, è necessario formalizzare un “apposito atto di designazione” a “Responsabile per la protezione dei dati”. Qualora, invece, si ricorra a un soggetto esterno all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del Regolamento.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso atto venga individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente generalità, compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del Regolamento) e funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
Nell’atto di designazione o nel contratto di servizi devono risultare, inoltre, le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dal GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.
Inoltre, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti, l’organizzazione dovrà valutare se una sola persona sia sufficiente a svolgere il complesso dei compiti affidati al DPO o se invece sia necessario istituire un apposito ufficio al quale destinare le necessarie risorse per lo svolgimento delle funzioni stabilite. Ad ogni modo, anche laddove venga costituito un apposito ufficio, l’atto di designazione dovrà individuare sempre la persona fisica che riveste il ruolo di DPO.
DPO esterno, la sentenza del Tar di Lecce
Alcune recenti sentenze hanno fatto emergere delle criticità circa l’affidamento del ruolo del DPO in ambito pubblico, nella specie, la sentenza del TAR Puglia Lecce n. 1468 del 13 settembre 2019.
Senza voler entrare nel merito del motivo di impugnazione oggetto di esame da parte del TAR – che, per inciso, ha annullato una gara d’appalto indetta dal Comune di Taranto per il conferimento del servizio di DPO – facendo esposizione del principio di “appartenenza” necessaria della persona fisica che esercita come responsabile le funzioni di DPO alla società/persona giuridica cui la PA ha affidato quel servizio, cerchiamo di ripercorrere gli interessanti risvolti in merito ai principi affermati.
Il primo principio, assolutamente condivisibile, afferma che la procedura di nomina del DPO in ambito pubblico, non può essere limitata solo a persone fisiche ma dev’essere necessariamente aperta anche a persone giuridiche. Tra l’altro, un affidamento di un contratto di mera consulenza ai sensi dell’art. 7 D.lgs165/2001 potrebbe essere ritenuto illegittimamente restrittivo della concorrenza laddove preveda l’esclusione di persone giuridiche dalla procedura di selezione.
Il secondo principio, nato da un’interpretazione letterale nella traduzione delle Linee guida, affermerebbe che il soggetto, cioè la persona fisica operante come DPO, debba necessariamente “appartenere” alla persona giuridica – quindi essere un socio o un dipendente della stessa.
Questo è il punto che ha fatto molto discutere. L’interpretazione data dal Collegio leccese è apparsa più orientata ad un mero dato letterale e meno orientata ai requisiti che la persona fisica – che riveste il ruolo di DPO – deve avere, ovvero un rapporto idoneo a dare garanzie all’amministrazione in termini di competenza e di affidabilità nell’esecuzione delle proprie prestazioni.
La valutazione del mero vincolo di subordinazione emerso in sentenza, finirebbe con l’affermare che soltanto i soci di una persona giuridica e i suoi dipendenti possono dare questo tipo di prestazione.
Per tale motivo, è azzardato utilizzare tale sentenza come un riferimento da seguire pedissequamente. Tutt’al più, è possibile utilizzare il disposto per costruire delle procedure che da un punto di vista formale e sostanziale non solo rispettino il GDPR, ma siano in grado di garantire all’amministrazione soggetti competenti e affidabili.
