La nomina del DPO: competenze, indipendenza e incompatibilità

La peculiarità del ruolo del DPO

La peculiarità del ruolo assegnato al RPD richiede che il titolare ponga attenzione alle competenze richieste, alla sua indipendenza e ai possibili conflitti di interesse che devono essere evitati per garantire la piena conformità alle disposizioni di legge.

Alla luce di alcune pronunce giurisprudenziali, che spaziano dall’ambito della protezione dei dati personali a quello della salute e sicurezza sul lavoro, è possibile derivarne indicazioni utili per un’analisi dei menzionati aspetti legati alle competenze richieste e ai potenziali conflitti di interesse o incompatibilità.

Servono, inoltre, efficaci strategie di mitigazione dei rischi di non conformità alle normative europee e nazionali in materia di protezione dei dati.

L’ordinanza del Tribunale di Udine n. 504/2024

In merito alla nomina, merita particolare attenzione l’ordinanza del Tribunale di Udine n. 504/2024, relativa al caso di una dipendente che aveva rifiutato di firmare la nomina quale soggetto autorizzato al trattamento dei dati personali.

Di fronte a tale rifiuto, il datore di lavoro, ritenendo la mancata accettazione incompatibile con l’operatività della dipendente, ne aveva disposto la sospensione dal servizio e dalla retribuzione.

Il Giudice del lavoro, chiamato a pronunciarsi in via cautelare, ha ritenuto legittima la condotta datoriale, evidenziando che “la mancata accettazione dell’incarico conferito dal datore di lavoro comporta conseguenze nella gestione del rapporto di lavoro, incidendo su più livelli: violazione del dovere generale di lealtà e correttezza nell’esecuzione delle mansioni, inadempimento degli obblighi contrattuali e configurazione di una condotta disciplinarmente rilevante”. Il Tribunale ha così chiarito che la nomina rappresenta una facoltà per il datore di lavoro a cui il dipendente deve attenersi.

D’altronde, l’art. 2-quaterdecies del Codice Privacy stabilisce che “il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta” (su questo punto, anche il Gdpr non fornisce indicazioni specifiche in merito alle formalità di tale autorizzazione).

La forma scritta è una maniera per responsabilizzare il personale coinvolto.

Interrogativi in termini di obblighi contrattuali

Tuttavia sorge un quesito di particolare rilevanza in relazione alla designazione del Responsabile della Protezione dei Dati (RPD). Bisogna verificare quali sarebbero le implicazioni qualora il dipendente individuato per tale ruolo intendesse opporsi alla nomina.

Questo scenario pone interrogativi non solo in termini di obblighi contrattuali, ma anche rispetto ai requisiti di indipendenza e assenza di conflitto di interesse richiesti dalla normativa vigente.

GDPR: cosa stabilisce per il DPO

Il GDPR stabilisce che il Responsabile della Protezione dei Dati (RPD o DPO) debba possedere adeguate qualità professionali, con particolare riferimento alla conoscenza delle normative e delle prassi in materia di protezione dei dati personali, nonché essere in grado di svolgere i compiti previsti dall’art. 39.

Questi includono funzioni di informazione, consulenza, supervisione, stima delle valutazioni d’impatto sulla protezione dei dati (DPIA) e mediazione nei rapporti con l’Autorità Garante.

Ulteriori indicazioni in merito ai requisiti del DPO sono fornite dal Documento di indirizzo per il responsabile della protezione dati in ambito pubblico del Garante per la protezione dei dati personali, in particolare nel paragrafo 5 dedicato a “Qualità professionali e possesso di titoli”.

Un utile riferimento in materia proviene anche da un provvedimento (cfr. punto 28) del 2021 dell’Autorità Garante lussemburghese, secondo cui, pur non rappresentando un parametro vincolante, nelle organizzazioni complesse il DPO dovrebbe possedere almeno tre anni di esperienza professionale nel settore.

Le caratteristiche del RPD: competenze, indipendenza e incompatibilità

È importante sottolineare che la figura del DPO non deve essere un semplice fiduciario del titolare del trattamento, bensì un professionista competente, dotato di capacità relazionali e in grado di operare con un adeguato livello di indipendenza e terzietà.

Alla luce di ciò, una delle situazioni in cui potrebbe emergere una riluttanza ad assumere l’incarico di DPO è la consapevolezza, da parte del soggetto individuato, di non possedere i requisiti richiesti per il ruolo e, pertanto, da solo non poter garantire la copertura del ruolo.

In tale circostanza, qualora dal curriculum del candidato non emergano chiaramente le qualifiche necessarie, il titolare del trattamento potrebbe valutare l’opportunità di concordare con l’interessato (ovvero aderire alla sua richiesta):

• un percorso formativo finalizzato all’acquisizione delle competenze richieste;
• la dotazione di risorse specialistiche ai sensi dell’art. 38.2 del GDPR.

Competenze

L’adozione di un eventuale provvedimento disciplinare nei confronti di un dipendente designato come DPO, ma che rifiutasse la nomina potrebbe essere ritenuta legittima dal Giudice del lavoro, soltanto se fosse evidente che il dipendente possiede le competenze necessarie per svolgere adeguatamente il ruolo assegnato ovvero si sia mostrato contrario anche nel caso di disponibilità del titolare ad adottare le misure sopra accennate.

Consapevolezza

Diversamente, se il soggetto individuato per la nomina, pur consapevole della propria insufficiente preparazione in materia e/o della carenza di idonee risorse, decidesse comunque di accettare l’incarico senza evidenziare tale consapevolezza (e quindi proporre / consentire l’adozione delle ripetute misure da parte del titolare), potrebbe indebolire l’intero sistema di gestione della privacy dell’organizzazione.

In tal caso, si porrebbe la questione se il DPO possa essere ritenuto, in una eventuale chiamata in giudizio da parte del titolare – che solo a posteriori si sia avveduto dello stato delle competenze/apporto del DPO -, civilmente responsabile nel caso in cui l’organizzazione subisse provvedimenti o sanzioni a seguito di criticità rilevate in materia di protezione dei dati personali.

L’incompatibilità

Alcune pronunce giurisprudenziali nell’ambito della salute e sicurezza sul lavoro, relative alla figura del Responsabile del Servizio di Prevenzione e Protezione (RSPP) – ruolo per certi aspetti assimilabile a quello del DPO – offrono spunti utili su un altro versante, quello dell’incompatibilità.

Due sentenze della Sezione Lavoro della Corte di Cassazione

Risultano utili due sentenze della Corte di Cassazione – Sezione Lavoro:

• Sentenza n. 19965/2006, che ha dichiarato illegittimo il licenziamento di un dipendente rifiutatosi di assumere l’incarico di RSPP in quanto già designato come Rappresentante dei lavoratori per la sicurezza (ruolo ritenuto incompatibile con quello di RSPP, incompatibilità successivamente formalizzata nell’art. 50 del D. Lgs. 81/2008). La Corte ha chiarito che attribuire entrambe le funzioni alla stessa persona eliminerebbe ogni forma di controllo efficace, poiché il controllore e il controllato coinciderebbero;
• Sentenza n. 34553/2023, con cui non sono state accolte le ragioni di un dipendente che aveva rifiutato l’incarico di RSPP, inizialmente motivando la sua decisione con un’inconciliabilità con altre mansioni assegnate (dalle quali era stato successivamente sollevato). La Corte ha ritenuto che il rifiuto fosse “assolutamente generico ed immotivato”, non ravvisando elementi oggettivi di incompatibilità con il datore di lavoro.

Il ruolo del DPO

Da queste pronunce emergono importanti indicazioni applicabili anche al ruolo del DPO. Eventuali conflitti di interesse con altri incarichi devono essere attentamente valutati sia dal titolare del trattamento che sia dal DPO: in fase di nomina nonché durante l’esercizio delle sue funzioni, per rispettare il dettato dell’art. 38.6 del GDPR.

In presenza di conflitti di interesse, è compito del titolare adottare le misure necessarie per prevenirli o mitigare il rischio. Tuttavia, senza adeguato intervento del titolare, il DPO ha la responsabilità di segnalare la situazione e di adottare un approccio proattivo, dichiarando eventuali conflitti oltre che in fase di nomina anche notificando tempestivamente eventuali situazioni di incompatibilità che dovessero emergere successivamente.

Le cause di incompatibilità per il ruolo di Responsabile della Protezione dei Dati (DPO) possono essere molteplici, come evidenziato nel paragrafo 10 “Incompatibilità con altri incarichi e conflitto di interessi” del Documento di ndirizzo del Garante e nelle Linee guida del W29 sul RPD del 2017.

Tra le possibili cause figurano la contestuale responsabilità di processi o strutture che trattano dati personali, nonché l’assegnazione di incarichi come quello di Responsabile per la Prevenzione della corruzione e della trasparenza (RPCT).

Il Garante sottolinea che la valutazione dell’incompatibilità deve essere effettuata tenendo conto della dimensione e della complessità dell’organizzazione.

Qualora emergano elementi che suggeriscano una possibile incompatibilità, ma si intende procedere comunque con la nomina, è necessario motivare e documentare adeguatamente la decisione.

L’approccio più prudente consisterebbe nell’individuare preventivamente le qualifiche e le funzioni che potrebbero generare conflitti di interesse e definire le misure di mitigazione da adottare nel caso di cumulo di incarichi.

Il caso dell’incompatibilità rilevata ex-post

Un aspetto spesso trascurato, ma di rilevante importanza, riguarda la gestione dell’incompatibilità rilevata ex-post in caso di avvicendamento nella carica di DPO, indipendentemente dalla causa (rotazione periodica, mobilità interna, pensionamento ecc.).

Se il nuovo DPO riscontrasse che il predecessore ha operato in una condizione di evidente incompatibilità, sarebbe utile sapere come affrontare le attività già svolte.

Deontologia del responsabile della protezione dei dati

In tali circostanze, per il nuovo DPO si pone la questione, quantomeno deontologica, di informare il titolare del trattamento e valutare l’opportunità di sottoporre a verifica le valutazioni e i pareri espressi dal predecessore, almeno per i processi operativi con trattamenti di dati personali che ricadevano nell’area di possibile conflitto.

Tale verifica dovrebbe essere condotta con la necessaria tempestività, anche nel caso in cui il titolare o i suoi delegati non la ritenessero prioritaria, in quanto rientra nell’autonoma funzione di supervisione prevista dall’art. 39.2 del GDPR. In alternativa, il titolare potrebbe promuovere, sentito il DPO, delle attività di internal auditing sui processi operativi / trattamenti interessati.

L’internal auditing

Il coinvolgimento di una funzione terza e di terzo livello quale l’internal auditing, ove praticabile in relazione alla propria pianificazione delle attività di revisione, oltre al vantaggio di agevolare il nuovo DPO nella focalizzazione sulle esigenze attuali dell’organizzazione, consentirebbe all’organizzazione di avere una complessiva assurance sullo stato dei rischi residui – fra cui quelli privacy – per le linee di attività interessate.