Amministratori

Protezione dati, il responsabile deve far parte dell'organico della società esterna incaricata

di Amedeo Di Filippo

Qualora la funzione di responsabile per la protezione dei dati personali sia svolta da una persona giuridica, è indispensabile che il soggetto (persona fisica) operante come Rpd sia "appartenente" alla persona giuridica e soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del regolamento europeo in materia di protezione dei dati personali. Lo afferma la sezione di Lecce del Tar Puglia con la sentenza n. 1468/2019 (si veda anche il Quotidiano degli enti locali e della Pa del 17 settembre).

Il caso
Il ricorso riguarda l'annullamento della graduatoria degli ammessi al conferimento dell'incarico per l'attuazione del Regolamento Ue n. 679/2016 sulla protezione dei dati personali e l'individuazione del responsabile per la protezione dei dati (Rpd), formulata all'esito di una procedura di gara informale. Incarico conferito a una Srl ma sospeso dallo stesso Tar Puglia secondo cui, pur non essendovi dubbi circa il fatto che una persona giuridica può partecipare alla gara, l'incarico di Rpd era stato poi affidato a un soggetto fisico di cui non era chiaro il legame con la società aggiudicataria.
La sezione di Lecce ha respinto diversi motivi di ricorso ma ha accolto l'ultimo, relativo proprio al fatto che non viene evidenziato il legame fra la società e il soggetto incaricato delle funzioni di Rpd, che non risulta essere socio e neanche dipendente, venendo a configurare una sorta di subappalto in cui non è riscontrabile quale possa essere la responsabilità della società nel caso di inadempimenti e/o danni provocati da detto soggetto.

Le indicazioni europee
Nel merito, i giudici hanno esaminato la questione alla luce delle necessarie conoscenze e qualità professionali che deve possedere il responsabile e della sua posizione all'interno di una persona giuridica qualora la funzione venga da svolta da quest'ultima. Il riferimento è ai requisiti fissati nella sezione 4 del Capo IV del Rgpd, il regolamento europeo in materia di protezione dei dati personali, secondo cui il Rpd deve essere designato in funzione delle qualità professionali e in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e può assolvere i suoi compiti in base a un contratto di servizi (articolo 37). Indicazioni specifiche per il Rpd sono contenute nelle «Linee guida sui responsabili della protezione dati», adottate il 13 dicembre 2016 dal Gruppo di lavoro europeo per la protezione dei dati, secondo cui qualora la funzione venga svolta da un fornitore esterno, è indispensabile che ciascun soggetto "appartenente" a detto fornitore soddisfi tutti i requisiti fissati nel regolamento. Nel caso di specie la società aggiudicataria non ha dato prova dell'appartenenza soggetto incaricato di svolgere le funzioni di Rpd alla propria struttura o al proprio organico, essendo legato da un contratto di prestazione professionale, per cui la funzione da questi svolta non può essere riferita alla società.

Lost in translation
È singolare la contromossa difensiva della società, che ha evidenziato come nel testo (originale) in inglese delle linee guida non sia rinvenibile la parola "appartenente" e quindi viene solo richiesto che il soggetto incaricato soddisfi tutti i requisiti previsti dal regolamento. Ragionamento respinto dal Tar Lecce, che anzi lo usa per confermare la correttezza della propria posizione, in quanto da un lato la traduzione italiana delle linee guida non ha alcun valore legale, a differenza della versione italiana che costituisce versione ufficiale e, dunque, vincolante; dall'altro la traduzione proposta risulta non veritiera, in quanto la dizione «each member of organisation exercising the functions of DPO…» non si riferisce a ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di Rpd ma a ogni membro interno che la svolge.

La sentenza del Tar Puglia n. 1468/2019

Per saperne di piùRiproduzione riservata ©