Il TAR detta regole restrittive per i DPO persone giuridiche

Il TAR detta regole restrittive per i DPO persone giuridiche

Dopo la tanto discussa sentenza del TAR Friuli Venezia Giulia, che ha stabilito che un responsabile della protezione dei dati personali (RPD) – o Data Protection Officer (DPO) – deve innanzi tutto essere un giurista (v. il commento su questa rivista e l’acceso dibattito che ne è seguito su Linkedin), i giudici degli interessi legittimi tornano sul profilo soggettivo di questa figura con una decisione che non mancherà anche questa volta di sollevare numerose critiche.

Con l’entrata in vigore lo scorso anno del General Data Protection Regulation (GDPR) in molti si sono improvvisati esperti di privacy pur di aggiudicarsi una commessa. Nel caso qui in commento su cui si è pronunciato il TAR Puglia (Reg. Prov. Coll. n. 1468/2019), siamo arrivati addirittura al punto che un RPD – costituito in forma di società commerciale – si sia proposto come tale per interposta persona. Sembra eccessivo, e quindi giusto che il tribunale amministrativo abbia stigmatizzato questa pratica. Tuttavia, leggendo attentamente le norme applicabili, tenendo presente la gerarchia delle fonti, interrogandosi sulla loro ratio e ricorrendo per analogia a fattispecie assimilabili, non sono sicuro che i giudici abbiano colto nel segno, anche perché la logica sottesa alla loro decisione condurrebbe verso scenari inaccettabili.

Il quadro normativo e regolamentare

Superate le prime incertezze interpretative del Regolamento Generale per la Protezione dei Dati  (RGPD) – o GDPR -, artt. 37 e 38, è oggi chiaro che il RPD può essere anche una persona giuridica. A fugare ogni dubbio è stato il vecchio Gruppo di Lavoro ex Articolo 29 con la pubblicazione delle Linee guida sui responsabili della protezione dei dati (WP 243 rev. 01): «La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento» (p. 16).

Le Linee Guida proseguono aggiungendo che, nel caso in cui il RPD sia una persona giuridica, «è indispensabile che ciascun soggetto appartenente [ad essa] e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD». Si raccomanda poi che, a meri fini organizzativi, «un solo soggetto [persona fisica] funga da contatto principale e “incaricato” per ciascun cliente».

Alla luce di quanto precede, esistono tre figure:

  • – il RPD persona fisica, singolo professionista dotato dei requisiti dei cui alla Sezione 4, Capo IV, del RGPD;
  • – il RPD persona giuridica, a cui devono appartenere le persone fisiche che svolgono materialmente le operazioni di RPD per conto della società (il team RPD) e che quindi devono essere tutti dotati dei requisiti dei cui alla Sezione 4, Capo IV, del RGPD;
  • – il soggetto incaricato per cliente, ovvero un soggetto del team RPD che funge da punto di contatto principale cui fare riferimento per lo svolgimento della commessa (una sorta di project manager del RPD).

Coerentemente con le indicazioni del Gruppo, il nostro Garante ha adottato un modello digitale di notifica di nomina del DPO che riflette l’opzione persona fisica-persona giuridica e, in questo ultimo caso, riserva un campo proprio all’indicazione della persona fisica incaricata a fungere da punto di contatto per il titolare.

Nonostante la chiara e netta diversità di ruolo tra RPD – nella sua natura alternativa, fisica o giuridica – e soggetto incaricato, ancora oggi, forse complice l’iniziale incertezza interpretativa della norma, non è affatto raro che gli atti di nomina a RPD e i sottostanti contratti siano ambigui e che le figure sopra delineate si sovrappongono in una commistione che espone pericolosamente alcuni professionisti a responsabilità diretta e personale[1].

Il fatto

Nel 2018 la società a r.l. Istituto di Formazione Manageriale & Consulting (IsForm), in persona del suo legale rappresentante, risultava aggiudicataria di una gara per un servizio biennale di DPO presso il Comune di Taranto. Sia dal bando che dai successivi atti di verifica del Comune si evince una certa confusione tra le distinte figure di RPD, suoi rappresentanti e soci, e incaricato del servizio. A ciò si aggiunge che quest’ultimo, l’incaricato della IsForm, non era suo dipendente, ma tutt’al più vincolato da un semplice contratto di prestazione professionale ex art. 2222 c.c.

Tale circostanza è apparsa dirimente per il TAR che ha interpretando il participio «appartenente» (aggettivo) scritto nelle Linee Guida, come sinonimo di altro participio, dipendente (sostantivo), ovvero soggetto legato da un vincolo di subordinazione. In questa prospettiva, rilevata l’assenza del suddetto vincolo, il Collegio ha disposto l’annullamento della graduatoria e della determina di aggiudicazione.

Molteplici sono i motivi per cui tale decisione non convince del tutto.

Critica

Gerarchia delle fonti e interpretazione letterale

Innanzi tutto rilevano obiezioni di ordine sistematico. Le Linee Guida sono una debole fonte per poggiare su di esse l’intera decisione. Al di là di esse, infatti, il giudice deve interrogarsi sul testo della legge applicando le regole ermeneutiche di cui agli artt. 12 e ss. delle preleggi.

Ricorrono poi dubbi di ordine interpretativo. È opinabile infatti che il termine «appartenente» debba intendersi come sinonimo di «dipendente», termine quest’ultimo carico di un significato giuridico ben determinato ed estraneo al primo. Peraltro, nella versione inglese delle Linee Guida (ovvero la versione originale di cui quella italiana è traduzione) la frase completa è «it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR» (enfasi aggiunta). Basta una semplice proposizione (of) per far pendere la decisione verso la necessaria costituzione di un requisito così forte come la subordinazione?

Ratio della norma

Non secondaria è poi l’intenzione del legislatore, ovvero il criterio finalistico- teleologico. Anche sotto questo aspetto la decisione del TAR non è esente da critiche giacché l’apertura delle funzioni di RPD alle persone giuridiche è volta alla possibilità di svolgere tale attività in forma imprenditoriale avvalendosi di team di esperti (sempre auspicabile la presenza di figure giuridiche che si fanno affiancare da tecnici informatici ed esperti di procedure e pratiche di compliance). In tal caso, la responsabilità della commessa è della persona giuridica in quanto tale, con obbligo tuttavia di far svolgere materialmente l’incarico a soggetti dotati di determinati requisiti (art. 37.5 e 38.6 – conoscenza della legge e delle pratiche in tema di trattamento dati e assenza di conflitti di interessi). Che tali soggetti siano o meno dipendenti del RPD non incide minimamente sulla sua responsabilità (in eligendo) e imputabilità diretta delle loro condotte in capo alla persona giuridica in nome e per conto della quale agiscono (salvo l’eventuale rivalsa di quest’ultima).

Anche la lettura teleologica delle Linee Guida, quindi, non dà ragione di una loro interpretazione restrittiva nel senso voluto dal TAR.

Istituti affini

Nell’ordinamento nazionale ed europeo è noto l’istituto dell’avvalimento nel settore dei contratti pubblici che consiste nella possibilità di dimostrare il «possesso dei requisiti di carattere economico, finanziario, tecnico, organizzativo» richiesti da una stazione appaltante per la partecipazione ad una specifica procedura di affidamento «avvalendosi dei requisiti di un altro soggetto» (artt. 49 e 50 del D.Lgs. 163/06). L’istituto in parola, quindi, ci ricorda che è sempre possibile in via di principio eseguire un contatto con la PA pur essendo privi dei requisiti richiesti dal bando di gara, ma ricorrendo ad un soggetto terzo che li possiede e che si impegna a metterli a disposizione del concorrente.

Oltre all’avvalimento, ritengo si possa anche ricorrere più in generale alla rappresentanza ordinaria o alla preposizione institoria ex art. 2202 c.c. (che non implicano necessariamente un rapporto di subordinazione), per giustificare la possibilità di interpretare in modo estensivo l’uso di «appartenente» nelle Linee Guida. Attraverso tali istituti, infatti, è consentito far ricadere nella sfera giuridica altrui le conseguenze degli atti propri. Del resto, rappresentanza e preposizione ci insegnano, proprio come nell’avvalimento, che nel rapporto organico tra società e persone fisiche che agiscono in suo nome e conto esiste sempre un legame di fondo che non è necessariamente consacrato dal vincolo di subordinazione, ma può trovare la sua fonte in altri atti o fatti che hanno rilievo giuridico e perseguono l’obiettivo legittimo di tutelare l’affidamento dei terzi o la competizione tra diversi attori commerciali.

Conseguenze paradossali della decisione

Seguendo il ragionamento del TAR Puglia dovremmo chiederci cosa accadrebbe se, una volta legittimamente assegnata una gara ad un RPD persona giuridica, il suo incaricato già dipendente di essa, si dimettesse o venisse licenziato. Dovremmo in tal caso risolvere di diritto il contratto di appalto? Dovremmo sospenderlo?

Senz’altro l’assenza temporanea di un incaricato dotato dei requisiti della Sezione 4 del GDPR dovrebbe comportare l’obbligo dell’impressa del ripristino immediato delle condizioni soggettive per il prosieguo dell’attività (assunzione di un nuovo incaricato dotato dei predetti requisiti), ma è escluso che ciò possa legittimare la sospensione degli effetti del contatto poiché ciò metterebbe a riparo il RPD dalla responsabilità per inadempimento per impossibilità sopravvenuta. Al contrario, se il contratto non fosse correttamente eseguito, ancorché a causa delle dimissioni di un dipendente, ciò dovrebbe sì determinare la risoluzione per inadempimento del contratto di servizio di RPD dovendo l’impresa premunirsi di un sostituto o avendo fin dall’origine predisposto un team, essendo la possibilità che qualcuno si dimetta una normale eventualità nella dinamica dell’impresa, prevedibile e prevenibile.

Conclusioni

Lo studio approfondito dei “soggetti del GDPR” aiuta senz’altro a redigere correttamente gli atti e ad inquadrare chiaramente obblighi e responsabilità di ciascuno.

Un conto è il soggetto che assume la qualifica di RPD per contratto con il titolare del trattamento. Altri sono i soggetti preposti dal RPD – quando questi è una persona giuridica – a svolgere l’incarico. Altro ancora è, tra questi ultimi, l’incaricato di fare da punto di contatto con il cliente. Altro ancora, infine, è il legale rappresentante del RPD, che solo occasionalmente può essere egli stesso preposto o incaricato.

Negli atti oggetto di esame nella sentenza in commento, queste figure si sono confuse per imperizia della stazione appaltante e, probabilmente, anche della società aggiudicataria. Il TAR Puglia in questa confusione ha aggiunto del suo stabilendo che preposti e incaricato debbano essere dipendenti del RPD.

A parere di chi scrive, tale decisione non tiene in debito conto dell’opportuna elasticità dell’articolazione aziendale, né spiega le ragioni profonde della sua ricostruzione fermandosi su un dato letterale di fonte secondaria, di lettura tutt’altro che univoca.

[1] Vien da sé che il RPD persona fisica risponde del proprio operato senza lo scudo societario. Ma quando il professionista opera come preposto all’interno di una società commerciale, egli agisce in nome e per conto di questa, ed è evidente che, almeno da punto di vista formale, egli si adatti ed esegua atti imputabili all’ente cui appartiene.

Tribunale Amministrativo Regionale per la Puglia, Reg. Prov. Coll. n. 1468/2019

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Con la sentenza in commento, la Suprema Corte ha sviscerato gli elementi costitutivi del reato di cu...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

I dati personali sono l’oro del futuro. Sono un bene non rivale, che generiamo senza investimenti,...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Fino a che punto si possono postare su Facebook le foto altrui? La domanda si è posta, sebbene i...

Privacy