Regolamento - 27/04/2016 - n. 679 art. 39 - Compiti del responsabile della protezione dei dati

Profilo generale ed equilibri normativi

La disciplina applicabile al DPO sembra costruita secondo linee di accrescimento poco equilibrate rispetto alla funzione originaria. Da un lato, i suoi compiti sono amplissimi: è chiamato a valutare rischi e soluzioni giuridiche, cfr. artt. 39, par. 1, lett. c) e 39, par. 2; è un esperto non solo del Regolamento ma delle leggi nazionali che lo integrano, cfr. artt. 37, par. 5 e 39, par. 1, lett. a) e inoltre considerando 97; gli è richiesta una conoscenza anche applicativa del diritto alla protezione dei dati personali, cfr. art. 37, par. 5; deve avere contezza dei flussi di dati all'interno e all'esterno dell'organizzazione assistita e comprenderne i punti critici, cfr. artt. 38, par. 1 e 39, par. 1, lett. b); deve conoscere finalità di trattamento, contesto, ambito di applicazione e natura del trattamento e considerare, su queste basi, debitamente i rischi per i diritti e le libertà degli interessati, cfr. art. 39, par. 2; è chiamato a svolgere verifiche e ad avere conoscenze tecniche che gli permettano di effettuare utilmente un ruolo di coordinamento e supportonel caso di violazioni dei dati ( personal data breach ), cfr. artt. 33, par. 3, lett. b) e 34, par. 2. Cura i rapporti con gli interessati, fa da tramite per l'esercizio dei loro diritti, coopera con il Garante, art. 39, par. 1, lett. d) ed e). Dall'altro, il modello, per così dire “base” di DPO a cui sembra fare riferimento il legislatore appare incongruo o comunque sottodimensionato: il ruolo può infatti essere affidato a un dipendente («staff member», art. 37, par. 6), le cui mansioni di DPO, già estremamente complesse e specialistiche, potrebbero addirittura coesistere con altre (criticità questa peraltro presente al legislatore, cfr. art. 38, par. 6). In particolare, per un verso il DPO deve essere sottratto a direttive, istruzioni, ingerenze sanzionatorie (art. 38, par. 3), ma per un altro può trovarsi soggetto ad esse, sia pure in relazione a mansioni diverse (art. 38, par. 6). Deve essere libero da conflitti di interesse (art. 38, par. 6), ma può essere integralmente collocato all'interno della struttura a cui presta assistenza. Se soggetto interno, è onerato di compiti di controllo sui suoi stessi colleghi e superiori (art. 39, lett. 1, lett. b)), ma deve essere allo stesso tempo libero da ingerenze e conflitti di interesse. In breve, il profilo concettuale del ruolo in commento non appare del tutto chiarito dal legislatore europeo e lascia nell'interprete la sensazione di un'accumulazione in parte caotica di esigenze assai diverse tra loro, talvolta perfino antagoniste.

Obbligo di designazione

La designazione del DPO è richiesta non solo al titolare del trattamento ma anche al responsabile del trattamento, ricorrendone i presupposti obbligatori. I soggetti pubblici sono sempre tenuti a nominare il DPO, con la sola eccezione, nel GDPR, degli uffici giudiziari nell'esercizio delle funzioni giurisdizionali («courts acting in their judicial capacity»), cfr. art. 37, par. 1, lett. a). Va tuttavia fatto presente che l'Italia ha introdotto tale obbligo anche per tale categoria di soggetti, ai sensi dell'art. 2- sexiesdecies cod. privacy. I privati invece devono provvedervi solo qualora ricorra una delle seguenti circostanze:

a) le attività principali svolte consistono nel monitoraggio regolare e sistematico degli interessati su larga scala;

b) le attività principali svolte riguardano il trattamento di dati sensibili o giudiziari su larga scala.

Le due ipotesi contengono due elementi comuni, dirimenti, il concetto di attività principali e quello di larga scala, che richiedono precisazione. Quanto al primo, il considerando 97 GDPR chiarisce che la distinzione tra attività principali di trattamento («core activities») e attività ancillari («ancillary activities») va tracciata sulla base delle attività primarie svolte dal titolare o dal responsabile del trattamento. In particolare, non rileva che le attività primarie consistano direttamente nel trattamento di dati sensibili o giudiziari, rileva invece che il trattamento di queste categorie di dati personali sia implicito in esse. Ad esempio, attività primaria di una struttura sanitaria privata è quella di prestare cura e assistenza, non quello di trattare dati sensibili. Il trattamento di questa tipologia di dati fa tuttavia necessariamente parte delle attività principali, dunque, ricorrendo la larga scala, la struttura sanitaria designerà il DPO. Il riferimento alle attività primarie costituisce una precisazione fondamentale in fase interpretativa e permette di delimitare il novero dei soggetti tenuti all'obbligo di designazione.

Il concetto di larga scala costituisce uno dei più sfuggenti della disciplina, ancorché alcune precisazioni del Garante possano essere valorizzate nel senso di fornire approssimative coordinate volumetriche cui fare riferimento (ved. passaggio riportato più avanti). I parametri di cui tenere conto per la nozione di larga scala sono mutuati dall'istituto della valutazione d'impatto (DPIA), che richiama lo stesso concetto di larga scala, e precisamente dal considerando 91 GDPR. Si considerano in tal senso su larga scala i trattamenti:

– concernenti «una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e

– che potrebbero incidere su un vasto numero di interessati e

– che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità».

Va segnalato che il termine «regionale» costituisce false friend (o, al più, una forte approssimazione) di «regional» presente nella versione inglese del Regolamento.

Sempre il considerando in questione prevede (cfr. ivi ultimo periodo) una clausola di esclusione ex lege della larga scala su base soggettiva, ossia quando il trattamento sia svolto da un professionista singolo: «Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato». Ovviamente, l'esclusione è applicabile a qualsiasi altra categoria di professionisti. Il singolo avvocato penalista pertanto svolgerà tra le sue attività principali il trattamento di dati giudiziari, ancorché oggetto della sua attività sia propriamente l'assistenza ai propri clienti; non sarà mai tenuto tuttavia alla designazione del DPO, in applicazione dell'eccezione anzidetta. Infine, per «monitoraggio regolare e sistematico» le linee guida europee hanno chiarito che non deve intendersi un monitoraggio continuo, potendo essere soddisfatta comunque la nozione anche da un'attività svolta a intervalli periodici. «Sistematico» assorbe tutta l'area concettuale di ciò che non è estemporaneo, dunque presuppone forme organizzative e una qualche programmazione. Il diritto degli Stati membri può aggiungere ulteriori ipotesi di designazione obbligatoria del DPO e naturalmente, sotto altro profilo, è sempre possibile procedervi facoltativamente.

Da notare che l'aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:

«– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

– ricorrente o ripetuto a intervalli costanti;

– che avviene in modo costante o a intervalli periodici.

L'aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:

– che avviene per sistema;

– predeterminato, organizzato o metodico;

– che ha luogo nell'ambito di un progetto complessivo di raccolta di dati;

– svolto nell'ambito di una strategia» (LG DPO, § 4, p. 11).

«[... L]'espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento» (LG DPO, § 2.1.2, p. 9).

«Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala. [...] Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Secondo quanto indicato nel considerando 91 del Regolamento, infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala. In tal senso, anche il Gruppo di Lavoro art. 29 per la protezione dei dati (ora Comitato europeo per la protezione dei dati-art. 68 del Regolamento) indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario (Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.). Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD» (GPDP, 7 marzo 2019, n. 55 [9091942]).

«Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all'interno del RGPD; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però, di un concetto riferito esclusivamente all'ambiente online» (LG DPO, § 2.1.4, p. 11).

Requisiti per la scelta del DPO

Il DPO deve essere rigorosamente individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'art. 39». Questi compiti possono essere ripartiti in tre macrogruppi:

1) compiti di informazione;

2) compiti di sorveglianza/monitoraggio;

3) compiti di collaborazione/contatto con l'autorità di controllo e con gli interessati.

È pertanto evidente il profilo spiccatamente giuridico della funzione in esame, che necessariamente orienta verso professionisti o realtà in grado di dominare le competenze suesposte. Non sono invece prescritti titoli, certificati o determinati percorsi formativi obbligatori per svolgere l'attività di DPO: ciò che rileva unicamente sono le competenze effettive. Titoli e certificati possono solo contribuire a comprovarle. Il titolare e il responsabile del trattamento dovranno essere in grado di dimostrare e documentare, in applicazione degli obblighi generali di accountability, di avere valutato le competenze del DPO prima di designarlo. Eventuali omesse verifiche preliminari e ipotesi vistose di inadeguatezza del DPO scelto appaiono idonee a configurare responsabilità in capo al titolare e al responsabile del trattamento.

«[...] La minuziosa conoscenza e l'applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall'Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico. Ne consegue che la certificazione, indicata nell'avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell'incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo» (T.A.R. Friuli Venezia Giulia I, 13 settembre 2018, n. 287. La vicenda riguardava l'impugnazione di un avviso per l'affidamento di un incarico a DPO pubblicato da un'Azienda per l'assistenza sanitaria, che richiedeva quali requisiti per la selezione il possesso di diploma di laurea in informatica o ingegneria informatica ovvero in giurisprudenza o equipollenti, e in aggiunta la certificazione di auditor/lead auditor per i sistemi di gestione per la sicurezza delle informazioni secondo la norma ISO/IEC/27001).

«Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti» (GPDP, 26 marzo 2018 [8036793], Faq RPD in ambito privato, § 2).

L'attività di informazione

Giova specificare meglio le attività del DPO sussumibili nelle tre macroaree già dette, ossia: informazione, sorveglianza/monitoraggio, collaborazione/contatto. Nell'ordine indicato, la prima è riconducibile a una funzione essenzialmente consulenziale (cfr. in tal senso espressamente art. 39, par. 1, lett. a)) sia rispetto all'attuazione di principi e obblighi specifici della normativa sia rispetto all'aggiornamento e formazione del personale (art. 39, par. 1, lett. b)).

L'attività di soveglianza/monitoraggio

A differenza di un semplice consulente, il DPO si occupa di svolgere infatti anche la sorveglianza/monitoraggio sull'applicazione della normativa, attività che potrà essere assolta anche con verifiche programmate. È questo il passaggio in cui è più spiccato, da un lato, l'approccio proattivo atteso dal DPO, chiamato a individuare le verosimili aree critiche e ad anticiparne, sul piano organizzativo, le risposte, come reso palese dal riferimento alle politiche/policy da sorvegliare (cfr. lett. b art. 39, par. 1) e alla sensibilizzazione; dall'altro, emerge qui la natura relazionale dell'attività del DPO, cui si richiede la conoscenza del “tessuto connettivo” umano e informativo che compone la struttura a cui presta assistenza. Tale conoscenza è infatti presupposto necessario per l'assolvimento dell'obbligo di sorveglianza/monitoraggio. Giova evidenziare in proposito che tra gli oggetti di questa attività di controllo figura il sistema di autorizzazione e l'attribuzione dei compiti di chi opera sui dati personali («attribuzione delle responsabilità»). Inoltre il DPO deve intrattenere una privilegiata interlocuzione con i livelli apicali, cfr. art. 38, par. 1: «Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati personali sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali». Si confronti anche ult. periodo par. 3): «Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento».

Il coordinamento, il collegamento, la vigilanza non sono formali: il DPO deve ricevere tutte le risorse necessarie per svolgere la sua funzione e mantenere la propria conoscenza specialistica. Il ruolo relazionale sopra indicato, che come notato si esprime in senso non solo orizzontale ma anche verticale, e la disponibilità di un'appropriata dotazione di mezzi collocano il DPO (almeno nell'astratta previsione del legislatore) entro una posizione che ha connotati manageriali, nella quale il profilo organizzativo, di alto livello, è assolutamente prevalente. Ne risulta, se l'attività è svolta in maniera effettiva, una disclosure assai ampia al DPO degli interna corporis della struttura aziendale o pubblica per la quale opera: in altre parole, il DPO viene ad acquisire una conoscenza dettagliata sia della programmazione strategica del titolare o del responsabile del trattamento (art. 38, par. 1) sia delle vulnerabilità interne sia infine della struttura dei flussi di dati interni ed esterni. Di qui il necessario bilanciamento tra questa ampia acquisizione di informazioni chiave con precisi obblighi di segreto e riservatezza (art. 38, par. 5). I professionisti già tenuti al segreto per legge non saranno necessariamente obbligati a contrattualizzazioni specifiche in tal senso, per tutti gli altri si renderà opportuno un non disclosure agreement o pattuizione similare.

L'indicato ruolo proattivo e insieme consulenziale trova la più tipica espressione nella consulenza sulla valutazione d'impatto (DPIA), sviluppata in tre momenti dal DPO (v. anche per approfondimenti sub “A” più in basso):

1) consulenza sulla sussistenza dei presupposti di legge per procedervi;

2) assistenza nella predisposizione della valutazione, ed eventuale procedura ex art. 36;

3) monitoraggio del suo ciclo applicativo.

I riferimenti sono contenuti agli artt. 35, par. 2 e 39, par. 1, lett. c). L'obbligo della DPIA resta integralmente in capo al titolare del trattamento e il DPO fornisce il proprio parere se richiesto dal titolare, tuttavia, in mancanza, sarà il DPO a sollecitare il titolare, in applicazione del combinato disposto degli artt. 35, par. 2 e 39, par. 1, lett. b).

La valutazione d'impatto richiede la capacità di individuare il rischio e insieme una rigorosa professionalità per analizzarlo secondo metodologie correntemente applicate (es. quelle dell'ENISA) al fine di ridurne la portata. La valutazione d'impatto del resto non è altro che un'applicazione specifica della più generale analisi del rischio che titolare e responsabile del trattamento sono tenuti a svolgere ai sensi dell'art. 32, e rispetto alle quali il coinvolgimento del DPO, quale risorsa di riferimento, appare del tutto conforme ai compiti dettagliati all'art. 39, par. 2.

Ulteriore occasione di analisi del rischio, sia pure di contenuto specifico e diverso rispetto alla DPIA, riguarda la prevenzione e quindi l'intervento contenitivo in caso di personal data breach, per il quale si rimanda più ampiamente ai commenti agli artt. 4.12) e 33-34 GDPR in quest'Opera. Gli obblighi incombono sul titolare del trattamento, ma appare inappropriato che questi non coinvolga nella programmazione e gestione il DPO, quale soggetto detentore delle competenze specialistiche e di coordinamento e comunque soggetto che fungerà tipicamente da punto di contatto rispetto all'autorità di controllo (art. 33, par. 3, lett. b) e agli interessati (art. 34, par. 2). L'intervento di programmazione corretta di procedure di intervento nel caso di personal data breach, e quindi di intervento tempestivo nel caso in cui l'evento si verifichi effettivamente, appare in ogni caso coerente con i generali obblighi di informazione e sorveglianza/monitoraggio che competono al DPO ai sensi dell'art. 39, par. 1, lett. a) e b). Vedasi anche il secondo paragrafo della disposizione citata. Si suggerisce comunque un'attenta contrattualizzazione dell'operatività del DPO in relazione a eventi di personal data breach.

Giova ribadire che il DPO deve fornire consulenza e sorveglianza, tuttavia, rispetto ai soggetti esterni e all'autorità di controllo restano fermi gli obblighi in capo al titolare e, ove applicabile, al responsabile del trattamento (es. artt. 30.2 e 32), come dettagliati dal Regolamento. Esemplificativamente, il titolare risponde direttamente di attività quali la realizzazione e l'aggiornamento del registro, la predisposizione di policy nei casi in cui ciò sia proporzionato alle attività di trattamento, la definizione interna delle responsabilità, lo svolgimento di analisi dei rischi, la formazione e le istruzioni ai dipendenti, la predisposizione delle informative, ecc.. Quelle descritte non integrano cioè direttamente obbligazioni del DPO, mentre questi sarà certamente responsabile verso il soggetto assistito per l'omessa o imperfetta esecuzione delle prestazioni di consulenza e sorveglianza che sono alla base e che riempiono di contenuto quegli adempimenti.

L'attività di cooperazione/contatto

Infine la terza macroarea di competenza del DPO, quella di cooperazione/contatto rimanda al seguente complesso di disposizioni:

– contatto con gli interessati, ai sensi degli artt. 38, par. 4; 34, par. 2; 13, par. 1, lett. b); 14, par. 1, lett. b);

– cooperazione/contatto con l'autorità di controllo, ai sensi degli artt. 39, parr. d) ed e); 33, par. 3, lett. b); 37, par. 7.

In proposito, il DPO non solo è investito di profili inerenti al segmento esterno del flusso informativo, ma deve assolvere anche ad attività in senso lato di facilitazione e di mediazione giuridica, quale ponte ideale tra l'entità assistita e l'articolata costellazione dei soggetti esterni. L'interlocuzione con l'Autorità di controllo costituisce attività ordinaria del DPO, ai sensi della lett. e) del primo paragrafo dell'art. 39, e non riguarda quindi soltanto momenti critici ed emergenziali, tuttavia è in questi ultimi che riceve rilievo particolare. Affiora infatti in tali situazioni il punto più delicato della complessiva operatività del DPO, quello cioè che involge posizioni di conflitto con gli interessi del soggetto assistito, titolare del trattamento o responsabile del trattamento. Si pensi a occasioni come la collaborazione con l'Autorità in materia di personal data breach oppure il riscontro a richieste di informazioni, indagini, accessi. Appare fondamentale, sotto questo profilo, che l'indipendenza del DPO sia effettivamente sussistente (v. anche nello specifico il prossimo paragrafo).

La complessità delle attribuzioni del DPO va gestita in termini di accountability, tale concetto pervadendo tutta la struttura del Regolamento. Esiste cioè un' accountability specificamente applicabile al ruolo del DPO, che si traduce nel duplice onere di assolvere in maniera proattiva ai propri compiti (mantenendo anche un livello elevato di aggiornamento e una dotazione di mezzi necessari) e di tenere traccia delle valutazioni espresse, delle verifiche e delle attività svolte.

«Il Gruppo di lavoro raccomanda che il titolare del trattamento si consulti con il RPD, fra l'altro, sulle seguenti tematiche:

– se condurre o meno una DPIA;

– quale metodologia adottare nel condurre una DPIA;

– se condurre la DPIA con le risorse interne ovvero esternalizzandola;

– quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;

– se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD» (LG DPO, § 4.2, p. 23).

«Nella realtà, sono spesso i RPD a realizzare l'inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell'UE.

L'art. 39, paragrafo 1, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare del trattamento o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare del trattamento o del responsabile del trattamento» (LG DPO, § 4.5, p. 24).

«In base all'articolo 37, settimo paragrafo, del RGPD non è necessario pubblicare anche il nominativo del RPD. Seppure ciò rappresenti con ogni probabilità di una buona prassi, spetta al titolare del trattamento o al responsabile del trattamento e allo stesso RPD stabilire se si tratti di un'informazione necessaria o utile nelle specifiche circostanze. Tuttavia, comunicare il nominativo del RPD all'autorità di controllo è fondamentale affinché il RPD funga da punto di contatto fra il singolo ente o organismo e l'autorità di controllo stessa (art. 39, paragrafo 1, lett. e)» (LG DPO, § 2.6, p. 17).

L'indipendenza del DPO

Elemento cardine della funzione del DPO è la sua indipendenza, nella quale emergono i tratti pubblicistici della figura (invero già sottostanti alle ipotesi di designazione obbligatoria riportate al par. 1 dell'art. 37). Questi tratti pubblicistici assicurano lealtà e trasparenza nel rapporto con l'Autorità di controllo, alla quale il DPO deve espressamente prestare collaborazione, e forniscono garanzia aggiuntiva nei confronti degli interessati che devono poter contare su una figura non schiacciata sugli interessi del titolare o del responsabile del trattamento. Garantiscono altresì l'effettività del ruolo di controllo dell'osservanza dei precetti del Regolamento, che prescinde da approcci di superficie o di mera forma. Esiste, in altre parole, il preciso obbligo giuridico del DPO di segnalare al titolare o responsabile del trattamento le lacune riscontrate e tenere traccia di tali segnalazioni. La traccia potrà ben costituire in seguito elemento di cui l'Autorità di controllo potrà avere cognizione.

L'indipendenza del DPO è assicurata da specifiche previsioni normative:

–  art. 38, par. 3, che impone che il DPO non sia soggetto, per l'attività di sua competenza, a istruzioni da parte del titolare o del responsabile del trattamento e neppure a penalizzazioni o addirittura a rimozione (se non per inadempimento alle proprie funzioni di DPO). Ciò esclude evidentemente anche il ricorso a soluzioni contrattuali che per loro natura importino istruzioni o addirittura vincoli di subordinazione. Nel caso (invero sconsigliabile) in cui un dipendente, con mere mansioni esecutive, sia DPO interno, la funzione di DPO non potrà trovare fonte nel contratto di lavoro subordinato, ma dovrà essere separatamente contrattualizzata con un contratto di servizi. Ugualmente, la cessazione per qualsiasi causa del rapporto di lavoro dipendente non farà venire meno la funzione di DPO separatamente contrattualizzata.

–  Art. 38, par. 6, che esplicitamente impone l'assenza di conflitti di interesse (interni, ma il principio va generalizzato). Merita in definitiva cautela sul piano concreto non solo l'individuazione del DPO tra i dipendenti, pur astrattamente lecita nello stretto senso permesso dalla disposizione in commento e dall'art. 37.6, ma anche l'individuazione dello stesso tra collaboratori esterni che abbiano parte in attività decisionali sul trattamento di dati personali.

Sicuramente non potranno assumere la qualità di DPO ruoli apicali o comunque di vertice della struttura assistita.

«L'articolo 38, paragrafo 3, seconda frase, del RGPD si applica indistintamente tanto al responsabile della protezione dei dati che sia dipendente del titolare del trattamento o del responsabile del trattamento, quanto a colui il quale assolva i suoi compiti in base a un contratto di servizi concluso con questi ultimi, in conformità all'articolo 37, paragrafo 6, del RGPD» (CGUE, 22 giugno 2022, Leistritz, C-534/20, punto 37).

«A grandi linee, possono sussistere situazioni di conflitto all'interno dell'organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare del trattamento o il responsabile del trattamento in un giudizio che tocchi problematiche di protezione dei dati» (LG DPO, § 5, p. 32).

In materia di DPIA, «qualora il titolare del trattamento non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni» (LG DPO, § 4.2, p. 23).

“È di tutta evidenza che il ruolo di RPD è pertanto del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti non può avere la necessaria indipendenza per esercitare anche i compiti di sorveglianza, sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali, previsti dall’art. 39, par. 1, lett. b), del Regolamento e affidati appunto a un soggetto (anche interno) a cui deve essere tuttavia assicurata una condizione di indipendenza (vedi considerando 97)” (GPDP, Provvedimento del 19 dicembre 2024 [doc web 10106904])”

DPO come funzione

Come emerge dalle linee guida europee e dal generale consenso ormai consolidatosi attorno ai lineamenti fondamentali dell'istituto (cfr. GPDP, Faq RPD in ambito privato), il DPO va inteso come una funzione, delegabile in quanto tale a un'organizzazione di soggetti, anziché necessariamente come un ruolo soltanto individuale. L'intensità e la varietà delle attività assegnate all'istituto si riflettono infatti in una complessità organizzativa che postula competenze multidisciplinari. Tali attività possono essere concentrate in capo a un'unica persona fisica solo in entità economiche di massa organizzativa contenuta e caratterizzate da trattamenti di ridotta complessità. In contesti più articolati, il DPO potrebbe essere più realisticamente anche una squadra o addirittura un soggetto giuridico con propria organizzazione di tipo aziendale. In tali casi si richiede soltanto che sia presente un referente persona fisica distinto per ogni titolare o responsabile del trattamento oggetto di assistenza. Circa la scelta tra DPO interno ed esterno, il ricorso alla seconda modalità garantisce, in via tendenziale, maggiore indipendenza e sottrazione a ingerenze, anche soltanto di fatto, che potrebbero frustrare le finalità stesse della designazione. In ogni caso occorrerà scegliere soggetti che possano garantire una prossimità (se del caso anche linguistica) rispetto all'Autorità di controllo e agli interessati del trattamento (si pensi a situazioni di ampiezza extra-nazionale). La rilevanza di criteri di prossimità affiora all'art. 37, par. 2, ma è suscettibile di applicazione più generale, come connotato funzionalmente coerente con lo svolgimento dei compiti tipici del DPO. Si pensi all'importanza di un intervento tempestivo in caso di violazione dei dati. Va aggiunto che, ai sensi dell'art. 38, par. 1, il DPO viene «tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali». Anche in tale disposizione si colgono i tratti di una necessaria prossimità rispetto alla struttura di trattamento. La prossimità non va tuttavia intesa in senso necessariamente materiale, deve per esempio ritenersi possibile assicurare la partecipazione del DPO a decisioni di livello apicale e il suo coinvolgimento anche attraverso strumenti di comunicazione a distanza, ad esempio in streaming, che permettano di assicurare una presenza quantomeno virtuale.

Ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

«Il RPD, se necessario con il supporto di un team di collaboratori, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Ciò significa, fra l'altro, che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa. Il fatto che il RPD sia raggiungibile – vuoi fisicamente all'interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione – è fondamentale al fine di garantire all'interessato la possibilità di contattare il RPD stesso» (LG DPO, § 2.3, pp. 13-14).

«Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida). Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo» (GPDP, Faq RPD privato, § 8).

Pluralità di titolari/responsabili

Può porsi concretamente la questione se uno stesso DPO, al di fuori dei casi previsti all'art. 37, paragrafi 2 e 3, possa svolgere il proprio ruolo nei confronti di più assistiti. Ciò potrebbe rivelarsi particolarmente opportuno per il contenimento di costi in relazione a piccole e medie imprese insistenti in una stessa zona, che siano contemplate nell'alveo di applicazione dell'istituto. Va ricordato che nella prima versione della proposta di Regolamento l'obbligo di dotarsi del DPO avrebbe dovuto riguardare solo imprese con più di 250 dipendenti, sono stati poi eliminati tali limiti dimensionali. Esistono invero due ipotesi positive di DPO per così dire “condiviso” ai paragrafi 2 e 3 dell'art. 37. Non sembrano tuttavia tali da impedire di estendere pattiziamente la casistica. Del resto, è pacifico che un medesimo DPO possa svolgere la propria attività per soggetti diversi, anche a prescindere dalla sussistenza di accordi di riparto delle spese tra questi ultimi. Gli unici limiti vanno ravvisati nella necessità di evitare situazioni di conflitto di interesse, di assicurare l'esercizio effettivo delle funzioni proprie del DPO e di rispettare il dovere di segreto di cui all'art. 38, par. 5.

Profili di responsabilità civile

In ordine al tema della responsabilità civile del data protection officer, il Regolamento (UE) 2016/679 e le altre fonti normative in materia di protezione dei dati personali tacciono. Per tale ragione, nell'intento di individuarne i profili, all'interprete è richiesto, da una parte, di considerare attentamente lo statuto giuridico della figura scolpito dagli artt. 37, 38 e 39 del Regolamento e, dall'altra, di tenere conto delle norme generali in materia di responsabilità civile.

Così, pur dovendosi riconoscere che intorno alla figura si addensano ancora oggi irrisolti contrasti, risulta possibile teorizzare due distinti profili di responsabilità civile in capo al data protection officer: l'uno, di grande interesse, relativo alla responsabilità contrattuale e l'altro, probabilmente più marginale, relativo alla responsabilità extracontrattuale.

La responsabilità contrattuale del data protection officer

Come noto, alla designazione del data protection officer consegue la costituzione in capo alla figura degli obblighi previsti dall'art. 39 nonché degli altri eventualmente disposti in base al regolamento contrattuale in conformità all'art. 38, par. 6. Può, inoltre, essere utile considerare che, nella prospettiva dogmatica del diritto civile interno, la designazione del data protection officer sembrerebbe configurabile come una fattispecie negoziale composita che assorbe alcuni elementi propri del contratto d'opera intellettuale e del mandato, con la conseguenza che potrebbero trovare applicazione, entro i limiti della compatibilità con la disciplina europea, anche le disposizioni codicistiche relative a tali tipi contrattuali.

Ciò premesso, si pone un interrogativo circa la possibilità di distinguere i profili della responsabilità contrattuale del data protection officer.

Con tale espressione si indicano le conseguenze che derivano dall'inadempimento di un'obbligazione da parte di un soggetto che occupa una posizione debitoria nel contesto dialettico di un rapporto giuridico obbligatorio. La norma cardine in materia di responsabilità contrattuale è l'art. 1218 c.c., in forza del quale “Il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno, se non prova che l'inadempimento o il ritardo è stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile”.

Al fine di verificare se la condotta del data protection officer integri o meno gli estremi di un inadempimento è necessario, anzitutto, considerare che gli obblighi previsti dall'art. 39 costituiscono meri obblighi di mezzi. Ciò che è richiesto alla figura coincide, infatti, con la sola prestazione dei mezzi idonei a conseguire i risultati attesi dal titolare e dal responsabile ma non anche, precisamente, con quegli stessi risultati.

Si osservi inoltre che, poiché il data protection officer è chiamato ad esercitare un'attività professionale, la diligenza che gli è richiesta nell'esecuzione dei suoi compiti deve normalmente valutarsi ex art. 1176, comma 2 c.c. “con riguardo alla natura dell'attività esercitata”.

Alla definizione del grado di diligenza richiesto sembrerebbe concorrere, anzitutto, la previsione dell'art. 37, par. 5. Tale disposizione, prevedendo che il titolare e il responsabile designino il data protection officer in funzione delle qualità professionali e della capacità di assolvere i compiti di cui all'art. 39, tratteggia i contorni ideali di un professionista estremamente qualificato, restituendo l'immagine di uno iuris prudens del tempo presente dedito, in particolar modo, allo studio della materia della protezione dei dati personali. La misura dello sforzo esigibile dal soggetto nell'esecuzione delle prestazioni dovute risulterà, pertanto, corrispondentemente elevata.

Sembrerebbe, inoltre, concorrere alla definizione del grado di diligenza richiesto anche l'art. 39, par. 2, che impegna il data protection officer a monitorare debitamente, nello svolgimento dei suoi compiti, i rischi che possono derivare dal trattamento dei dati personali, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo. Nella logica normativa del Regolamento facente perno sulla prevenzione del danno, la figura è, infatti, chiamata a farsi imparziale interprete della probabilità e della gravità delle lesioni dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei relativi dati personali.

Un limite alla elevata diligenza esigibile dal data protection officer sembrerebbe potersi rinvenire nell'art. 2236 c.c., che dispone che “se la prestazione implica la soluzione di problemi tecnici di speciale difficoltà, il prestatore d'opera non risponde dei danni, se non in caso di dolo o di colpa grave”. Il criterio della speciale difficoltà suggerisce un temperamento della severità di giudizio che va condotto sulla scorta dell'art. 1176, comma 2 c.c., in quanto esclude la rilevanza della colpa lieve.

Parrebbe, ad esempio, possibile ritenere che la disposizione citata possa trovare frequente applicazione nel caso risultante dalla combinazione degli artt. 35, par. 1 e 39, par. 1, lett. c), id est allorché al data protection officer venga richiesto di fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati personali di un tipo di trattamento che preveda l'uso di nuove tecnologie. In tale tipico caso, il professionista avrebbe modo di confrontare le sue conoscenze specialistiche con un tipo di trattamento che, prevedendo l'uso di nuove tecnologie, ben potrebbe implicare la soluzione di problemi tecnici di speciale difficoltà che trascendono la preparazione mediamente esigibile dal buon professionista (con riguardo alla giurisprudenza che si è formata intorno al disposto dell'art. 2236 c.c., cfr., ex multis: Cass. n. 8546/2005; Cass. n. 5928/2002). Per quanto precede, dei danni causati dall'operazione di trattamento oggetto della consulenza il data protection officer potrà essere chiamato a rispondere, in sede di rivalsa, soltanto per dolo o colpa grave.

Alla luce di quanto preliminarmente osservato, ogniqualvolta l'impossibilità di una delle prestazioni obbligatorie previste dall'art. 39 o disposte in base al regolamento contrattuale derivi da una causa imputabile al comportamento doloso o colposo del data protection officer, sarà possibile formulare a suo carico, così come previsto dall'art. 1218 c.c., un giudizio di responsabilità contrattuale. Conseguentemente, egli potrà essere chiamato a risarcire il danno subito dal titolare o dal responsabile alla condizione che detto danno costituisca “conseguenza immediata e diretta dell'inadempimento” (art. 1223 c.c.) e che, non dipendendo da dolo, “poteva prevedersi nel tempo in cui è sorta l'obbligazione” (art. 1225 c.c.).

Così, si ponga ad esempio il caso in cui il titolare o il responsabile del trattamento incorrano nella violazione di una norma del Regolamento o cagionino a terzi un danno ingiusto per effetto di un trattamento illecito e la condotta inadempiente del data protection officer risulti eziologicamente rilevante nelle dinamiche di quegli stessi fatti. Tale esempio richiama l'attenzione del giurista civilista per almeno due ragioni.

La prima è inerente al problema della giuridica imputazione al titolare o al responsabile del comportamento doloso o colposo del data protection officer.

Al riguardo, occorre preliminarmente far presente che, come precisato dal Gruppo di Lavoro art. 29, il data protection officer non risponde personalmente della inosservanza degli obblighi in materia di protezione dei dati personali (cfr. Gruppo di Lavoro art. 29, Linee guida sui responsabili della protezione dei dati adottate il 13 dicembre 2016, nella versione emendata e adottata in data 5 aprile 2017, pp. 22 e 33). Gli unici soggetti investiti della legittimazione passiva in ordine alla responsabilità che segue alla violazione del Regolamento sono, infatti, come si evince dalla lettura dell'art. 83, i soli titolare e responsabile, ai quali potranno, poi, essere irrogate le severe sanzioni amministrative previste dagli artt. 83 e 84. Analogamente, va osservato che, secondo i meccanismi della responsabilità civile da illecito trattamento di cui all'art. 82, il soggetto danneggiato può avanzare la sua pretesa risarcitoria unicamente verso il titolare e, in casi molto limitati, il responsabile, poiché essi soltanto sono legittimati passivi in ordine al risarcimento dei danni cagionati.

Ciò stante, preme riconoscere che tra data protection officer e titolare o responsabile del trattamento intercorre un rapporto di preposizione, in forza del quale il primo è incaricato dello svolgimento di compiti della cui utilità i secondi intendono appropriarsi (Bianca, 450 ss.). La designazione del data protection officer svolge, infatti, la funzione di rafforzare le garanzie di compliance rispetto alla normativa in materia di protezione dei dati personali, determinando, sul piano del mercato concorrenziale, un incremento di credibilità e valore per i soggetti interessati (discorre di “misura a garanzia dell'accountability” Bistolfi, 330).

Parrebbe corretto affermare, pertanto, che il data protection officer sia configurabile come un ausiliario del titolare o del responsabile ex art. 1228 c.c., con la conseguenza che questi ultimi, valendosi della sua opera nell'adempimento degli obblighi previsti dalla normativa in materia di protezione dei dati personali, rispondono anche dei suoi fatti dolosi o colposi. Ne risulterebbe, seguendo tale iter logico, che la violazione del Regolamento causata, in tutto o in parte, dal data protection officer (ausiliario) in esecuzione del rapporto obbligatorio venga giuridicamente imputata al titolare o al responsabile (debitori). Lo stesso sarebbe a dirsi nel caso in cui la condotta inadempiente del data protection officer avesse apportato un contributo causale determinante nella causazione di un danno ingiusto da illecito trattamento.

A nulla varrebbe replicare che la possibilità di configurare un rapporto di preposizione tra i soggetti e la conseguente operatività del meccanismo di cui all'art. 1228 c.c. siano concretamente impedite dall'art. 38, par. 3 del Regolamento, ai sensi del quale il data protection officer non può ricevere alcuna istruzione per quanto riguarda l'esecuzione dei suoi compiti. Tale disposizione, infatti, nel definire la posizione di indipendenza della figura, parrebbe svolgere la funzione di garantire che il data protection officer agisca con dedizione sincera e assoluta alla protezione dei dati personali, in una condizione di estraneità agli interessi sostanziali sottesi alle finalità perseguite dai soggetti attivi del trattamento. Sembrerebbe, pertanto, che l'art. 38, par. 3 si limiti a precisare il criterio determinativo del contenuto degli obblighi incombenti sul data protection officer, non contraddicendo in alcun modo l'utilità che il titolare e il responsabile ritraggono dalla multiforme attività professionale svolta, per loro conto, dalla figura. Resta, dunque, salvo il carattere essenziale del rapporto di preposizione intercorrente tra i soggetti così come è stato sopra individuato.

La seconda ragione, strettamente connessa alla prima, per cui l'esempio di cui supra richiama l'attenzione del giurista civilista concerne la questione della rivalsa del titolare e del responsabile che lamentino di aver subito le conseguenze sfavorevoli dell'inadempimento del data protection officer (art. 1223 c.c.). Tale ipotesi non si pone, com'è ovvio, in contrasto con la seconda proposizione dell'art. 38, par. 3, che prevede che il titolare e il responsabile non possano rimuovere o penalizzare il data protection officer per l'adempimento dei propri compiti. Tuttavia, si chiarisca che, qualora l'atteggiamento dei primi si fondi su pretesti futili o capziosi e si inserisca nel quadro di attività vessatorie e oppressive, non sarebbe fuori luogo discorrere di una penalizzazione della figura.

Con riferimento a tale questione, può affermarsi che a costoro sarà consentito agire nei confronti del data protection officer dimostrando, ex art. 1218 c.c., la rilevanza dell'inadempimento della figura nelle dinamiche eziologiche che si pongono alla base della violazione o dei danni che eventualmente ne siano derivati e che, ai sensi dell'art. 82, essi sono tenuti a risarcire al danneggiato.

Si consideri, inoltre, che, nell'ipotesi richiamata a titolo di esempio, qualora il fatto colposo del creditore abbia concorso a cagionare il danno, il risarcimento potrà risultare “diminuito secondo la gravità della colpa e l'entità delle conseguenze che ne sono derivate” ai sensi dell'art. 1227, comma 1 c.c. Tale è il caso – sembrerebbe potersi ritenere – in cui, a fronte dell'inadempimento del data protection officer, si verifichi l'inesatta esecuzione da parte del titolare o del responsabile delle prestazioni obbligatorie ex artt. 37 e 38 del Regolamento poste, come noto, a presidio del più efficace e compiuto svolgimento dei compiti di cui la figura è incaricata. Al riguardo, si ipotizzi, ad esempio, che la posizione di indipendenza del data protection officer venga parzialmente compromessa a causa di un fatto ascrivibile al vertice gerarchico dell'azienda o dell'istituzione in cui opera ovvero che il sostegno finanziario e logistico che gli è dovuto non risulti pienamente adeguato. Parrebbe corretto ritenere che, in tali casi, il concorso di colpa dei soggetti attivi del trattamento incorsi nella violazione del Regolamento possa incidere sulla concreta quantificazione del danno che il data protection officer deve loro risarcire. Resta ferma, tuttavia, l'esigenza che quest'ultimo, nel riferire, a norma dell'ultima proposizione dell'art. 38, par. 3, direttamente al vertice gerarchico del titolare ovvero del responsabile, segnali prontamente l'anomalia delle condizioni in cui si trova a svolgere i suoi compiti, incorrendo altrimenti in una omissione gravemente colposa.

Alla luce di quanto finora considerato, può osservarsi quanto segue. Nel tentativo di prevedere gli sviluppi e le direzioni della prassi, non sembra inesatto attendersi che, in futuro, a fronte di una violazione o di un danno ingiusto cagionato da un trattamento illecito, il titolare e il responsabile frequentemente tenteranno di rivalersi nei confronti del data protection officer. Nella logica normativa del Regolamento, la designazione del data protection officer costituisce, infatti, quantomeno nelle organizzazioni più complesse, la più importante tra le misure volte a garantire un adeguato livello di sicurezza dei dati personali, alla stessa stregua della chiave di volta posta nel punto sommitale di un arco. Appare, pertanto, evidente come, al cospetto di un giudice, potrà rivelarsi agevole puntare l'indice nei confronti della figura. Un uso ostinato di tale strategia difensiva rischia tuttavia di occultare e svilire la più autentica ratio sottesa alla designazione del data protection officer, che non può in alcun modo ridursi ad essere un'esimente o un ingiustificato capro espiatorio. Al contrario, nelle dinamiche del progressivo concretarsi della compliance, il data protection officer deve poter scorgere distintamente – nel titolare e nel responsabile – validi e leali interlocutori.

Un altro caso in cui sembrerebbe possibile discorrere di profili di responsabilità contrattuale in capo al data protection officer è, ad esempio, quello in cui venga meno all'adempimento degli obblighi ex art. 39, par. 1, lett. d) ed e). In forza delle disposizioni citate, il professionista è tenuto a cooperare con l'autorità di controllo e a fungere da punto di contatto per essa per questioni connesse al trattamento, materializzando, in tal modo, un ponte tra la sponda dei soggetti attivi del trattamento e la sponda delle autorità di controllo che è tale da garantire, almeno idealmente, un notevole grado di attendibilità delle informazioni trasmesse. È questa, forse, una delle più importanti manifestazioni dell'utilità che il titolare e il responsabile ritraggono dalla designazione della figura, cui, nella prassi, viene frequentemente assegnato l'ulteriore compito di tenere e aggiornare, per loro conto, il registro delle attività di trattamento svolte (art. 30, parr. 1 e 2 GDPR) (cfr., al riguardo, Bolognini, 413 ss.).

Sul punto si osservi come, alla stregua delle disposizioni richiamate, il data protection officer fosse chiamato ad interagire con l'autorità di controllo “per conto” dei soggetti che lo hanno designato. Ove, in particolare, il data protection officer avesse svolto la prestazione quale professionista esterno alla struttura del titolare o del responsabile, non sembrerebbe scorretto ipotizzare l'applicazione della disciplina codicistica in materia di mandato. Il riferimento è, nello specifico, all'art. 1710, comma 1 c.c., il quale, riecheggiando le parole dell'art. 1176, comma 1 c.c., prescrive al mandatario di “eseguire il mandato con la diligenza del buon padre di famiglia” (Cass. n. 19778/2003). Tuttavia, allorché rispetto all'elemento della cooperazione giuridica – tipico del mandato – risulti prevalente il carattere professionale delle prestazioni richieste, potrebbe apparire opportuno valutare la condotta del data protection officer alla luce del più severo criterio della diligenza qualificata ex art. 1176, comma 2 c.c..

Tale potrebbe essere il caso in cui al data protection officer, nella dialettica con l'autorità di controllo, sia richiesto di effettuare, per conto del titolare, una consultazione preventiva ex art. 36 GDPR o qualsiasi altra consultazione che implichi l'applicazione della sua conoscenza specialistica (cfr., per una riflessione sul tema delle divergenze tra la responsabilità del professionista intellettuale e quella del mandatario, G. Musolino, 139).

Si consideri, da ultimo, l'ulteriore caso preso in considerazione dall'art. 168, comma 1 del codice in materia di protezione dei dati personali, così come novellato dal d.lgs. n. 101/2018. Ai sensi della norma citata, “salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni”. Anche in tale caso, incrinandosi pericolosamente la garanzia dell'indipendenza che contraddistingue il ruolo professionale del data protection officer quale punto di contatto per l'autorità di controllo e fermi restando gli eventuali profili di responsabilità penale della sua condotta, il data protection officer si renderebbe autore di un inadempimento nei confronti del titolare o del responsabile del trattamento. Per tale ragione, ben potrebbero costoro esperire nei suoi confronti un'azione contrattuale e dolersi, sul piano civilistico, del predetto inadempimento.

La responsabilità extracontrattuale del data protection officer

Il tema della responsabilità extracontrattuale conduce il giurista ad interrogarsi sulle conseguenze di un fatto illecito dannoso che prescinde dall'esistenza di un precedente rapporto obbligatorio.

Con riferimento alla possibilità di distinguere profili di responsabilità extracontrattuale in capo al data protection officer, preme tornare a considerare, in via preliminare, la fattispecie di cui al già citato art. 82 GDPR allo scopo di individuarne precisamente il campo di applicazione. Dalla lettura della disposizione richiamata, parrebbe che il legislatore europeo abbia inteso attribuire rilevanza giuridica ai soli trattamenti che, ponendosi in una relazione di difformità rispetto alle previsioni del Regolamento ovvero, più estensivamente, rispetto agli atti delegati e agli atti di esecuzione adottati in forza del Regolamento o alle disposizioni di diritto nazionale di adeguamento (considerando 146), risultano produttivi di un danno ingiusto (v. commento all'art. 82 GDPR in quest'Opera). Sembrerebbe pertanto corretto argomentare una precisa tipizzazione di taluni elementi costitutivi della fattispecie e, in particolare, della condotta dannosa, che appare coincidente con un trattamento di dati personali ex art. 4, n. 2 GDPR). Ne risulterebbe di conseguenza delimitato anche il perimetro dell'elemento dell'ingiustizia del danno, da individuarsi, nello specifico, nelle sole lesioni dei diritti e delle libertà delle persone fisiche cui può astrattamente aver riguardo un'operazione di trattamento di dati personali.

Tenendo conto di quanto precede, si osservi che l'art. 82 disciplina una fattispecie speciale, la quale, innestandosi sulla disciplina prevista dal diritto civile generale – segnatamente, dal codice civile –, prevale su di essa negli stretti limiti delle sue statuizioni positive. Ne consegue che, laddove cessa di estendersi il campo di applicazione della norma europea, che stabilisce, come detto, la legittimazione passiva di titolare e responsabile, lasciando residuare la sola possibilità di una rivalsa contrattuale nei confronti del data protection officer che ha contribuito alla causazione del danno, riaffiorano nuovamente gli istituti giuridici della legge interna.

Non sembrerebbe, dunque, possibile escludere che, entro i margini di ipotesi non interessate dal campo di applicazione dell'art. 82, il data protection officer possa rispondere direttamente dei danni causati dal fatto illecito commesso.

Esso si edifica a fatto rilevante per il diritto interno in forza dell'art. 2043 c.c., ai sensi del quale “qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno”. Della fattispecie richiamata, che svolge l'importante funzione di chiusura del sistema, poiché è in grado di accogliere in se stessa tutti quei fatti che non rientrano nelle fattispecie speciali di responsabilità extracontrattuale, si distinguono quattro elementi costitutivi: il fatto, il danno ingiusto, la relazione eziologica tra il fatto e il danno ingiusto e, infine, il dolo o la colpa del soggetto danneggiante.

La responsabilità extracontrattuale del data protection officer potrà individuarsi ogniqualvolta venga accertato che un fatto illecito dannoso sia a lui imputabile sulla base di un giudizio che investe l'elemento psicologico del dolo o della colpa. Questi ultimi costituiscono, infatti, criteri di imputazione della responsabilità, in quanto valgono ad identificare il soggetto sul quale sono destinate a ricadere le conseguenze negative della lesione inferta al terzo.

All'accertamento della responsabilità del data protection officer si accompagna, così come previsto dalla seconda parte dell'art. 2043 c.c., la costituzione dell'obbligo di risarcire i danni cagionati. Tuttavia, posto che il fatto è commesso nello svolgimento dei compiti cui il soggetto è preposto – e, dunque, in presenza di un nesso di occasionalità necessaria tra il danno e i compiti medesimi – deve ritenersi che la responsabilità del data protection officer si propaghi exartt. 82 GDPR e 2049 c.c. in capo al titolare o al responsabile preponenti. I soggetti attivi del trattamento risulteranno, pertanto, obbligati in solido nei confronti del terzo danneggiato a titolo di responsabilità indiretta (sulla responsabilità solidale predicabile in tali casi, cfr. Rossetti, 165).

Si osservi, inoltre, che, in tale ipotesi, la responsabilità che sorge in capo al titolare e al responsabile prescinde da una culpa in vigilandovel in eligendo, sicché costoro, al fine di andare esenti da condanna, dovranno dimostrare la difformità della condotta del data protection officer rispetto all'art. 2043 c.c. e non l'assenza di colpa nell'aver vigilato o selezionato il soggetto autore materiale del fatto illecito.

Altre riflessioni in ordine ai profili di responsabilità extracontrattuale del data protection officer potrebbero conseguire allo studio dell'ipotesi in cui la figura ponga in essere una violazione del Regolamento, che cagiona a terzi un danno ingiusto, al preciso fine di conseguire un profitto ovvero di recare un pregiudizio ad altri. Al riguardo, si pensi, a titolo d'esempio, al caso in cui il data protection officer trasmetta a terzi informazioni riguardanti una persona fisica identificata o identificabile allo scopo di conseguire una specifica utilità e soddisfare, in tal modo, un interesse proprio e incongruente rispetto a quello relativo alle finalità del trattamento determinate dal titolare nell'ambito della sua attività.

In tale ipotesi, il data protection officer agisce con dolo specifico in quanto, come insegna il diritto penale, commette il fatto avendo di mira un risultato ulteriore (cfr. Marinucci e Dolcini, 318). Tale considerazione parrebbe indurre a ritenere che il soggetto, nel determinarsi in ordine alla trasmissione di dati personali, proceda alla individuazione di una specifica finalità di trattamento, manifestamente eccedente o del tutto estranea rispetto a quelle perseguite dal titolare, oltreché degli specifici mezzi di trattamento.

In virtù di detta circostanza, non sembrerebbe inesatto affermare che il data protection officer agisca in qualità di autonomo titolare del trattamento, rectius autonomo titolare di quello specifico trattamento che è coincidente con la trasmissione di quei dati personali.

Seguendo il ragionamento di queste pagine, dunque, in ragione della condizione psicologica che contraddistingue il profilo soggettivo del fatto – id est, il dolo specifico –, avrebbe modo di stagliarsi distintamente una finalità di trattamento ulteriore rispetto a quelle decise dal titolare. Il compimento, per tale finalità, di un'operazione di trattamento tanto esorbitante rispetto a quelle normalmente praticate dai soggetti attivi del trattamento consoliderebbe in capo al data protection officer l'acquisto della titolarità ex art. 4, n. 7 GDPR (v. commento, in quest'Opera, all'art. 4, n. 7) GDPR).

Nel tornare a sottolineare ancora una volta che, in forza dell'art. 82, risultano investiti della legittimazione passiva i soli titolare e responsabile, l'interprete è sospinto dalle ragioni che precedono verso la seguente conclusione: il data protection officer potrà essere chiamato a rispondere direttamente di un illecito civile allorché, per una specifica e ulteriore finalità, proceda a un trattamento in violazione del Regolamento, causando un danno ingiusto a carico degli interessati, come ad esempio nel caso in cui trasmetta a terzi dati personali allo scopo di soddisfare un interesse proprio.

Quel che va evidenziato è, tuttavia, che, fermi restando i profili di rilevanza penale del fatto commesso, il data protection officer risponderà direttamente dell'illecito a norma dell'art. 82 e, dunque, in qualità – si noti bene – di autonomo titolare di quello specifico trattamento illecito che ha causato i danni.

Se è così, appare allora più difficile sostenere che anche in tale caso sia configurabile una responsabilità indiretta exartt. 82 GDPR e 2049 c.c. del titolare o del responsabile che hanno designato il data protection officer. Sebbene, infatti, il trattamento illecito sia stato posto in essere “nell'esercizio delle incombenze”, la lettera normativa dell'art. 82 GDPR, come più volte sottolineato, costringe ad argomentare la legittimazione passiva – oltre che, in ipotesi limitate, del responsabile del trattamento – del solo titolare del trattamento che ha causato i danni.

Nuove formule contrattuali di erogazione del servizio di data protection officer: le criticità

Nel panorama consulenziale contemporaneo, vanno diffondendosi nuove prassi contrattuali di erogazione del servizio di data protection officer. In particolare, oggi, un numero notevole di studi legali e società di consulenza in materia di privacy va proponendo una formula che prevede l'erogazione di tale servizio per monti orari limitati. In tali casi, a imprese ed enti viene offerta l'attivazione di un “pacchetto” che garantisce la prestazione delle opere intellettuali ex art. 39 del GDPR da parte di un team di professionisti entro i limiti di un certo budget concordato tra le parti al quale corrisponde un tetto massimo di ore al mese.

Come è evidente, quel che più tipicamente caratterizza tale formula – che si annuncia economicamente vantaggiosa sotto i riflettori delle campagne pubblicitarie – è il limite imposto dalle condizioni contrattuali alla esigibilità delle prestazioni obbligatorie del data protection officer.

Tale business model sembrerebbe presentare diversi profili di criticità.

Nello specifico, il raggiungimento del limite orario potrebbe concretamente impedire al data protection officer il compiuto adempimento dei suoi obblighi, costringendolo ad abdicare al suo multiforme ruolo di consigliere del titolare/responsabile, supervisore del rispetto della normativa in materia di protezione dei dati, punto di contatto per l'autorità di controllo e per gli interessati. Secondo tale meccanismo, in altre parole, l'esaurimento del budget finirebbe per privare la funzione di data protection officer del suo significato e della sua cruciale rilevanza nelle dinamiche della accountability dei soggetti che trattano dati personali. Inevitabilmente, ciò potrebbe esporre la società che eroga tale servizio a seri rischi di responsabilità da inadempimento.

Poiché, inoltre, lo stesso atto di designazione della figura finirebbe per rappresentare un guscio vuoto, potrebbero evidenziarsi profili di responsabilità anche in capo al titolare o al responsabile.

I rischi cui si è accennato si dissolvono ove, invece, il tetto massimo di ore concordato non debba intendersi come inderogabile e tassativo e la formula contrattuale preveda, quindi, da una parte, la possibilità per il data protection officer di “oltrepassare il confine” segnato dal budget senza poter tollerare limitazioni da parte del titolare e del responsabile e, dall'altra, l'opzione per le aziende e gli enti di richiedere un intervento del team di professionisti anche dopo il raggiungimento del limite orario. Non può tuttavia nascondersi come, in tal modo, la vantaggiosità economica di tale formula venga chiaramente meno. L'accentuato grado di imprevedibilità dell'alea insita al contratto potrebbe, infatti, determinare sconvenienti e onerose sopravvenienze.

In buona sostanza, si può dunque affermare che in nessun caso tali formule contrattuali garantiscono l'efficienza del servizio: se è rispettato il budget concordato, ne risulta minacciata l'attuazione del principio di accountability e della ratio sottesa agli artt. 37,38 e 39 del GDPR; se è sfondato il tetto massimo di ore, viene meno la vantaggiosità economica della formula contrattuale stessa.