Secondo una recente sentenza del Tar Lecce, il Responsabile per la protezione dei dati dev’essere un dipendente dell’azienda a cui è stato affidato l’incarico
È destinata a fa discutere la sentenza n. 1468/2019 del Tar Lecce in merito alla nomina del DPO (Data protection officer). Il verdetto infatti rischia di sollevare alcune polemiche sulla valenza delle “Linee guida sui responsabili della protezione dei dati” in termini di applicazione della normativa vigente. L’ordinanza del Tar Lecce afferma che nel caso di affidamento del servizio di DPO a una persona giuridica, il soggetto che esercita le funzioni di Responsabile per la protezione dei dati dev’essere dipendente della società che offre il servizio, e non un professionista esterno.
Questa decisione è basata esclusivamente sull’interpretazione letterale delle Linee guida del 13 dicembre 2016, in cui si asserisce che il DPO deve imprescindibilmente essere dipendente (o comunque legato da un vincolo contrattuale analogo) della persona giuridica che offre il servizio di DPO. Questo vincolo contrattuale non può essere legato ad un libero professionista poiché, considerata l’autonomia dello stesso, verrebbe meno il principio di “appartenenza” sul quale si basa il testo. Nella sentenza infatti i giudici dichiarano che “non risulta evidenziato il legame fra la società ISFORM S.r.l. e il sig. XXX. Questi non è un socio della società, ma pare non esserne neanche dipendente. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.
La decisione del Tar Lecce se applicata sistematicamente avrebbe delle ricadute pratiche su migliaia di nomine che riguardano il settore pubblico e privato. In particolare, quello che fa discutere è che essa non considera affatto il dettato normativo primario (ovvero, gli artt. 37 e ss del GDPR, e il relativo Considerando 97), ma si concentra soltanto sulle Linee guida che sebbene non esprimano un obbligo vengono elevate a “interpretazione autentica” della normativa europea. Il GDPR infatti rimane generico in materia, dichiarando che il “responsabile per la protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”. Oltretutto, il principio di appartenenza sul quale si basa il ragionamento dei giudici amministrativi è presente solo nella versione italiana delle Linee guida, ma non compare ad esempio in quella inglese, francese e tedesca.
Ora spetta al legislatore il compito di chiarire questi dubbi per evitare future complicazioni.