Il soggetto che esercita le funzioni di Data Protection Officer (DPO) nel caso di affidamento a una persona giuridica, deve essere dipendente della società stessa che offre il servizio DPO. Questa non può quindi nominare un professionista esterno.
Così ha deciso il Tar Lecce con Sentenza pubblicata il 13/09/2019.
LA VICENDA
La Dr.ssa R****aveva partecipato all’Avviso pubblico per manifestazione di interesse inerente all’oggetto della gara, indetta dal Comune di Taranto, per il conferimento dell’incarico biennale per l’attuazione del GDPR (Regolamento U.E. n. 679 del 2016 sulla protezione dei dati personali) ed individuazione del Responsabile per la Protezione dei Dati (o DPO).
La Commissione giudicatrice aveva proceduto alla valutazione delle istanze pervenute dai tredici candidati ed aveva stilato la graduatoria finale.
L’incarico fu affidato alla Società I**** s.r.l. in persona del suo legale rappresentante ed il soggetto individuato come DPO fu tale F.M.
La dott.ssa R. risultava dalla graduatoria finale in seconda posizione, subito dopo Istituto **** s.r.l.
Contro la decisione del Comune ricorreva la dott.ssa R. lamentando “Violazione dell’articolo 80 e ss. del D. Lgs. n. 50/2016; Violazione della normativa del bando di concorso. Eccesso di potere per contraddittorietà illogicità, irragionevolezza, travisamento, ingiustizia manifesta. Violazione degli artt. 97 e 113 Costituzione.
LA NORMATIVA – DPO Tar Lecce
Per quanto qui di interesse, è da analizzarsi il quinto motivo di ricorso della dott.ssa R.
Con questo, la Dr.ssa R. deduce l’illegittimità degli atti impugnati, in quanto “non risulta evidenziato il legame fra la Società I**** S.r.l. e il sig. F. M. (il DPO individuato). Questi non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune di Taranto per eventuali inadempimenti e/o danni provocati dal detto soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale Responsabile per la protezione dei dati (DPO).
Il Tar Lecce ha ritenuto fondamentali le “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016, le quali ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati (DPO) nonché, per quanto qui di interesse, circa la sua (necessaria) posizione all’interno di una persona giuridica, qualora la funzione di DPO sia svolta, come nel caso de quo, da una persona giuridica.
Le predette Linee guida danno atto del fatto che, qualora la funzione di DPO sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del GDPR”, così, implicitamente ma inequivocabilmente, richiedendo che il soggetto (persona fisica) operante come DPO debba essere “appartenente” alla persona giuridica.
Il Tar Lecce aveva addirittura rilevato che la scrittura privata fra la Società I**** S.r.l. e il sig. F. M. parlava esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali.
CONCLUSIONI
Il Tribunale, dunque, ritenuta necessaria l’appartenenza della persona fisica svolgente le funzioni di DPO alla persona giuridica affidataria del servizio, accoglie il ricorso e, per l’effetto, annullati i provvedimenti impugnati.
