POLITICA SULL'UTILIZZO DEI COOKIE - GIUFFRE' FRANCIS LEFEBVRE SPA

Questo sito utilizza cookie di profilazione di prima parte per offrirti un miglior servizio e per trasmetterti comunicazioni in linea con le attività svolte durante la navigazione. Puoi impedire l'utilizzo di tutti i Cookie del sito cliccando MAGGIORI INFORMAZIONI oppure puoi acconsentire all'archiviazione di tutti quelli previsti dal sito cliccando su ACCONSENTI.

Continuando la navigazione del sito l'utente acconsente in ogni caso all'archiviazione degli stessi.


> Maggiori informazioni

Acconsenti

Abbonamento scaduto
Abbonamento inattivo
Numero massimo utenti raggiunto
Utente non in CRM
Manutenzione
sabato 19 ottobre 2019
Accedi   |   Contatti   |   Newsletter   |   Abbonamenti    Feed RSS
Notizie a cura di La Stampa.it |
AMMINISTRATIVO

privacy | 18 Settembre 2019

Quando il DPO è una persona giuridica, la persona fisica che svolge l'incarico deve essere un dipendente della stessa

di Pietro Calorio - Avvocato

Breve commento alla sentenza del 13 settembre 2019 del TAR Puglia – Lecce, in tema di affidamento di incarichi da Responsabile della protezione dei dati (“DPO” o “RPD”) in ambito pubblico.

(TAR Puglia, sez. III, sentenza n. 1468/19; depositata il 13 settembre)

Il caso. Il Comune di Taranto, a valle di una procedura selettiva, stilava una graduatoria e affidava l’incarico di DPO ad una società esterna, prima classificata; tale società, a propria volta, si avvaleva di una persona fisica che non risultava ad essa organicamente. Il soggetto secondo classificato proponeva ricorso per l’annullamento degli atti.
Il TAR Puglia - Lecce (sentenza n. 1468 del 13.09.2019) annullava i provvedimenti adottati dal Comune sul presupposto della necessità dell'"appartenenza" della persona fisica (che poi avrebbe svolto le funzioni di RPD) alla persona giuridica affidataria del servizio.

 

Le argomentazioni del TAR Puglia. Posto che l’art. 37 paragrafo 6 del GDPR afferma che “il responsabile della protezione dei dati può essere un dipendente […] oppure assolvere i suoi compiti in base a un contratto di servizi”, il giudice amministrativo pugliese considerava dirimente l’affermazione, contenuta nelle “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016” adottate dal Gruppo di Lavoro art. 29 sulla protezione dei dati (oggi Comitato Europeo per la protezione dei dati, “EDPB”), secondo la quale, nel caso di affidamento dell'incarico di DPO ad una persona giuridica esterna, "è indispensabile che ciascun soggetto appartenente [in inglese "member of", n.d.r.] alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili".
Nel caso concreto la società risultata prima in graduatoria si era limitata a produrre in giudizio una "proposta di incarico [...] non registrata e non allegata alla domanda di partecipazione" [...] "e, dunque, non atta a dare piena prova del fatto che [...]” la persona fisica che avrebbe svolto le funzioni di DPO "era, a qualche titolo, “appartenente” ad essa.
Conseguentemente il TAR, affermando che tali linee guida “ben esplicano, con interpretazione autentica, la relativa normativa comunitaria […]”, dichiarava fondato il ricorso e per l’effetto annullava gli atti impugnati.

 

La sentenza sta facendo discutere sotto vari profili. A prescindere dal fatto che il TAR non prende in considerazione i profili legati alla compatibilità della struttura dell’offerta della società risultata prima in graduatoria con le norme sul subappalto e sull’avvalimento contenute nel Codice degli appalti (d.lgs. n. 50/16, artt. 89 e 105), presta il fianco a critiche l’eccessiva valorizzazione delle linee guida del EDPB: essa non ha il potere di emanare provvedimenti prescrittivi né di "interpretazione autentica" del GDPR (posto che quest’ultimo è stato emanato dal Parlamento Europeo e dal Consiglio dell’UE, e non dal EDPB).
Tale ricostruzione, fra l’altro, contrasta con quella operata dallo stesso TAR appena sei mesi fa (Puglia – Lecce, 28 marzo 2019, n. 519), che in merito al valore giuridico delle “Linee Guida n. 6” dell’Autorità Nazionale Anticorruzione (ANAC) aveva osservato che esse non sono “assimilabili […] alle fonti del diritto […]” , ma costituiscono unicamente “prassi di un’autorità amministrativa […] cangiante e mutevole”, non in grado quindi di legittimare una sanzione (nella specie, l’esclusione da una procedura di gara).
Un’interpretazione così rigida potrebbe inoltre impattare con la realtà attuale del mercato: si stanno infatti consolidando "reti" tra società di servizi e professionisti, anche esterni ad esse, dotati delle opportune competenze in materia. Tale modello presenta vantaggi per tutti i soggetti coinvolti: la società di servizi può adottare geometrie variabili a seconda del tipo di potenziale cliente; il committente gode delle garanzie dimensionali offerte dalla persona giuridica che funge da general contractor; il professionista si avvantaggia di team coordinati ed è sollevato da oneri amministrativi legati alla partecipazione ai bandi.
Seguendo il “principio” (maldestramente) espresso dal TAR Lecce, le società di servizi potrebbero essere di fatto nella condizione di dover "incardinare" formalmente presso di sé (come dipendenti o soci) le persone fisiche che andrebbero a ricoprire il ruolo di DPO presso l'organizzazione cliente, con ogni conseguenza in termini organizzativi e di costi.
Sarà interessante osservare quale seguito potrà avere questa interpretazione e quali saranno le ricadute nella prassi delle organizzazioni pubbliche e private a vario titolo operanti in ambito data protection.