Considerazioni conclusive

Al termine delle considerazioni svolte, emerge come non sia possibile, allo stato attuale, poter fornire un quadro regolamentare completo ed esaustivo in merito a questa nuova, importante, figura introdotta dal GDPR, in considerazione sia della genericità delle disposizioni normative che della carenza di specificazioni ed interventi del legislatore nazionale.

Il GDPR , infatti, pur avendo dedicato tre norme alla disciplina del ruolo in esame, ha mancato di fornire indicazioni dettagliate sia sull’effettiva estensione dell’ambito dei poteri dello stesso sia sulle caratteristiche specifiche che devono appartenere a tale figura, limitandosi a prevedere che questi deve essere scelto in virtù delle sue “qualità professionali” (termine che si presta già di per sé a dover

383 _{Cfr. G. FACCI, La responsabilità civile del professionista, Cedam, 2006, pp. 1-2. Altri}

caratteri, anche se non esclusivi, delle prestazioni svolte dal professionista intellettuale sono la discrezionalità e la personalità: la discrezionalità indica la facoltà di scelta che il professionista ha sul comportamento da tenere e sui mezzi tecnici da adottare nell’esercizio delle sue funzioni, mentre il carattere della personalità insiste sulla necessità che il prestatore esegua personalmente l’incarico assunto, potendo avvalersi di sostituti ed ausiliari solo entro certi limiti. È chiaro che, con riferimento all’incarico di DPO, la discrezionalità si sposa con la necessità che allo stesso venga garantita autonomia ed indipendenza rispetto al Titolare, anche nei casi in cui ad essere nominato sia un soggetto già dipendente dell’ente. La personalità, invece, come si è visto, viene garantita dalla previsione in virtù della quale, anche nel caso in cui ad essere nominata sia una persona giuridica, è necessario vengano indicati i dati di contatto di un unico DPO, rispetto al quale gli altri dipendenti della società fungeranno eventualmente da ausiliari.

384 _{Il testo della norma, così come la Relazione del ministro Guardasigilli (n. 917) sembrano}

introdurre un criterio di attenuazione della responsabilità del professionista, nella parte in cui si prevede la limitazione della responsabilità al dolo e alla colpa grave, in caso di prestazioni che implicano la soluzione di problemi tecnici di speciale difficoltà. Nella relazione, in particolare, si afferma la volontà del legislatore di contemperare due opposte esigenze, quella di non mortificare l’iniziativa del professionista con il timore di ingiuste rappresaglie da parte del cliente in caso di insuccesso o riprovevoli inerzie del professionista, e quella contraria di non indulgere verso non ponderate decisioni o riprovevoli inerzie del professionista. L’art. 2236 cc si riferisce, come visto, ai “problemi tecnici”, pertanto la colpa che viene in rilievo è quella per aver agito con imperizia, vale a dire in violazione di regole tecniche e in mancanza di determinate cognizioni; invece, nella diversa ipotesi in cui la responsabilità trovi la propria origine nella negligenza o nell’imprudenza, il professionista risponde secondo le regole comuni (art. 1176, c. 2), con la conseguenza che è rilevante anche la colpa lieve. Cfr. G. FACCI, op. cit., pp. 16-19.

198

essere riempito di significato), ed in particolare delle sue “conoscenze specialistiche sulla normativa”, senza però porre l’accento sulla necessità, oltremodo evidente, che il DPO abbia, altresì, conoscenze giuridiche specifiche in relazione alla realtà in cui sarà tenuto ad operare, ed ulteriormente conoscenze di carattere tecnico.

Anche le norme dedicate al rapporto (di lavoro) intercorrente tra DPO e titolare si presentano oltremodo generiche e astratte, poiché il legislatore si limita a sancire, da un lato, che il rapporto deve essere regolato tra le parti a mezzo di una lettera di incarico (se il DPO è già dipendente dell’ente) o a mezzo di un contratto di servizi (se è invece esterno) e, dall’altro, che il DPO non possa subire ritorsioni per lo svolgimento del proprio incarico, senza specificare però come si debba comportare il titolare nel caso in cui il DPO non adempia, o non adempia diligentemente, il proprio incarico, e senza offrire una garanzia più pregnante allo stesso DPO per il caso in cui il titolare non rispetti tale divieto, ponendo in essere condotte discriminatorie nei suoi confronti.

Viene così lasciato aperto il campo a diverse possibili soluzioni, che si è tentato di passare in rassegna. Con riferimento al primo punto, inerente i poteri del DPO, si è già detto che gli stessi possono essere distinti, da un lato, in poteri di consulenza e vigilanza nei confronti del titolare, e, dall’altro, in poteri di cooperazione con l’Autorità. Dai primi due poteri, si è visto, discende l’onere per il DPO di collaborare attivamente con il titolare al fine di garantire la massima implementazione possibile del sistema di protezione dei dati personali, e al tempo stesso vigilare sulla concreta osservanza dei princìpi legislativi, poiché, come si è più volte evidenziato, il DPO ha solo funzioni di carattere consultivo, mentre la concreta attuazione delle misure eventualmente proposte spetterà pur sempre al titolare: il DPO, infatti, non gode di poteri di intervento diretto, di carattere coercitivo o sanzionatorio o impeditivo dell’azione, ma solo di poteri di indagine, che danno luogo a risultanze di carattere esclusivamente interno. Tuttavia, come si è sottolineato, l’obbligo di cooperazione con l’Autorità fa sorgere il dubbio circa la necessità di una modifica della disciplina in tal senso, attraverso l’introduzione, ad esempio, di un potere di segnalazione di eventuali condotte illecite o semplicemente non conformi ai pareri resi, specie in tutti quei casi in cui il DPO

199

operi nell’ambito di un ente pubblico, e dunque sia chiamato a garantire un interesse di rilievo pubblico. In generale, poi, si è altresì visto come potenziare il ruolo dell’Autorità nell’ambito del rapporto di lavoro intercorrente tra titolare e DPO potrebbe rivelarsi una scelta efficace anche al fine di garantire meglio la posizione di indipendenza di quest’ultimo.

Con riferimento, invece, alle caratteristiche proprie della figura, si è già detto come sia oltremodo pacifico che questi debba essere autonomo ed indipendente rispetto al titolare e responsabile, sia nel caso in cui venga nominato un soggetto esterno sia nel caso in cui invece si tratti di soggetto già dipendente dell’ente. A tal riguardo, la legge non esprime preferenza per l’una o l’altra alternativa, sebbene, come si è rilevato, la scelta di un soggetto esterno, persona fisica, sembra essere quella migliore, fatta salva la possibilità poi per il DPO di avvalersi, all’interno dell’ente, di un team di persone che, con il loro ausilio, consentirebbero l’efficacia dell’azione di quest’ultimo. Contrariamente, l’incarico assegnato a una persona giuridica, e non fisica, se auspicabile in considerazione della possibilità di avvalersi di professionalità di diverso tipo, fatta salva in ogni caso la necessità che venga individuata una persona specifica, tra i dipendenti della società incaricata, che funga da punto di contatto con il titolare, potrebbe, tuttavia, dar luogo ad aspetti problematici di particolare rilievo con riferimento alla regolazione del rapporto di lavoro, tanto tra titolare e società incaricata, quanto tra quest’ultima e il soggetto indicato per svolgere l’incarico.

Ancora, sempre con riferimento ai requisiti della figura in esame, deve evidenziarsi come sia alquanto controverso determinare con esattezza gli stessi. Infatti, il DPO deve essere scelto tenendo concretamente conto della quantità ed eventuale eterogeneità dei trattamenti posti in essere. In particolare, la legge puntualizza la necessità che questi abbia una conoscenza specialistica della normativa in materia di protezione dei dati personali, tuttavia è oltremodo evidente come egli debba avere anche un’approfondita conoscenza delle fonti normative che vengono in rilievo nello specifico settore in cui il titolare opera, nonché delle principali problematiche inerenti lo stesso, e che allo stesso tempo abbia delle conoscenze tecniche di rilievo. Si tratta di qualità che non è detto che ogni DPO candidato alla posizione possegga, specie nel caso in cui questi venga

200

scelto tra i dipendenti interni, ipotesi frequente dato il risparmio di budget che ne deriva. Al riguardo ci si è chiesti se, anche alla luce dell’obbligo di cooperazione di cui si è detto, da interpretarsi nel senso di possibilità che, in caso di operato colpevole del DPO, questi possa condizionare l’intervento preventivo dell’Autorità in tutti i casi di trattamenti particolarmente rischiosi, non sarebbe stato forse più opportuno introdurre un obbligo di certificazione che, offrendo al DPO la possibilità di essere adeguatamente formato in relazione al compito da svolgere, renderebbe il suo operato meno esposto a possibili condotte colpevoli, oppure ancora, la possibilità di introdurre l’istituzione di un albo di DPO gestito direttamente dall’Autorità.

Così sommariamente ripresi i punti salienti dell’analisi condotta, appare con ogni evidenza come ci si trovi dinanzi ad un ruolo unico nel suo genere, dotato di peculiarità che lo rendono non assimilabile a nessuna delle altre figure più note nell’ambito del sistema dei controlli interni alla società o all’ente pubblico, con particolare riferimento a quelle, più rappresentative, dell’OdV e del RPCT, di cui tuttavia sembra compendiare le funzioni, rappresentando, in maniera evidente, una evoluzione di queste ultime.

La natura ibrida dello stesso viene resa poi ancor più evidente dalla circostanza per cui è obbligatorio che questi sia presente tanto nel settore pubblico quanto in quello privato, entrambi destinatari della medesima disciplina normativa, nonostante la evidente necessità di dedicare norme diverse per settori che richiedono una regolamentazione diversa.

Alla luce di tutto quanto sopra, sembra naturale porsi l’interrogativo circa la necessità o meno di un ripensamento della disciplina inerente il ruolo oggetto di indagine, attraverso l’introduzione di previsioni che diano una fisionomia più precisa alla funzione del DPO complessivamente intesa.

Tale funzione, infatti, a tutti gli effetti costituisce il vero “fulcro” del sistema di protezione dei dati personali, ed una maggiore specificazione di funzioni e responsabilità risulterebbe certamente più funzionale all’interesse che il DPO è chiamato a garantire, che è quello della protezione dei dati personali degli interessati, oltre che quello, individuale, del titolare del trattamento (sebbene il primo possa essere garantito anche in ragione della tutela del secondo).