Nomina del Data Protection Officer in caso di persona giuridica affidataria dell’incarico: il TAR di Lecce sancisce il criterio di appartenenza all’azienda

La recente pronuncia del TAR Puglia, Lecce, sez. III, n. 01468/2019 parrebbe destinata ad incidere su parecchie nomine di soggetti esercenti le funzioni di Data Protection Officer (DPO), in ossequio al recente General Data Protection Regulation (GDPR).

Il caso di specie riguardava un ricorso avverso la graduatoria finale di una gara informale indetta dal Comune di Taranto, la quale atteneva al conferimento dell’incarico biennale per l’attuazione del GDPR e relativa individuazione del DPO.

Al di là delle circostanze che caratterizzano il caso concreto, destinate a produrre conseguenze sono le conclusioni a cui perviene il TAR circa la necessità del ruolo di dipendente per il DPO di azienda affidataria dell’incarico. Di fatto, il giudice amministrativo sembra stabilire che la persona fisica, la quale svolga concretamente il ruolo di DPO, qualora affidataria dell’incarico risulti essere una persona giuridica, come nel caso di specie, debba necessariamente “appartenere” alla stessa, e dunque risultare un dipendente dell’azienda affidataria del servizio.

Alla base della pronuncia del Collegio sembrerebbe porsi un’interpretazione fondata sul tenore letterale della versione in lingua italiana delle “Guidelines on Data Protection Officers (‘DPOs’)” del Gruppo di Lavoro articolo 29 per la protezione dei dati, adottate il 13 dicembre 2016. Infatti, nella sezione 2.5, circa le conoscenze e competenze del DPO ed in particolare circa la funzione di DPO svolta sulla base di un contratto di servizi, si afferma: “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD (Responsabile della protezione dei dati) soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD”.

La sentenza sembra porsi in netto contrasto con la disciplina comunitaria del GDPR, in particolare all’articolo 37, paragrafo 6, il quale si limita a prevedere che il DPO possa essere un dipendente del titolare del trattamento o del responsabile del trattamento, ovvero assolvere le sue funzioni sulla base di un contratto di servizi. A questo proposito giova, inoltre, ricordare che la versione inglese, francese e tedesca delle Linee guida non menzionino espressamente il requisito dell’”appartenenza” (o subordinazione), ritenuto essenziale dal Collegio, limitandosi a richiedere i requisiti previsti dal GDPR.

Il giudice amministrativo, quanto al valore giuridico, eleva le suddette linee guida al rango di “interpretazione autentica” della disciplina del GDPR, e dunque a norme cogenti. Pare, invece, che queste debbano ritenersi mere norme di soft law utili all’interpretazione della normativa europea, ma non aventi alcun valore precettivo. Inoltre, la decisione non parrebbe tener conto della prassi consolidata della nomina in qualità di DPO di persone giuridiche, le quali si avvalgono di professionisti esterni in grado di garantire una maggiore competenza tecnica e conoscenza specialistica di normativa e prassi, un maggiore aggiornamento in materia, nonché della capacità di assolvere i compiti di cui all’articolo 39 del GDPR. Lo stesso Ecc.mo Tribunale esclude, infatti, la possibilità che la funzione di DPO possa essere svolta da soggetto legato all’azienda da semplice “incarico professionale”, il quale conferirebbe un certo grado di autonomia nell’esplicazione dell’incarico al suddetto soggetto, escludendo dunque che tale ruolo possa essere svolto da un soggetto che non sia legato da un rapporto non subordinato.

Se il ragionamento del TAR di Lecce venisse esteso, renderebbe illegittime un numero elevatissimo di nomine per DPO a favore di persone giuridiche.