Il quesito sulla responsabilità del D.P.O

Il quesito che ci si pone a questo punto riguarda il posizionamento del Data Protection Officer all’interno del quadro appena descritto, non già sotto il profilo del ruolo e delle prerogative, di cui si è dato atto nel capitolo precedente, quanto dal punto di vista del regime delle responsabilità in cui egli si inserisce e in base al quale può essere chiamato a rispondere.

Va premesso che sul punto un ruolo fondamentale, specie per quanto attiene agli aspetti civilistici, ricade sull’atto con cui si incarica il D.P.O., che può disciplinare più dettagliatamente i compiti e le responsabilità del soggetto incaricato, nei limiti concessi all’autonomia contrattuale delle parti.

Ciò detto, poiché è comunque necessario fare riferimento a quanto disciplinato dal regolamento (UE) 2016/679, occorre sin d’ora dare atto che, secondo un’interpretazione assai diffusa fra gli osservatori, il Data Protection Officer svolgerebbe fondamentalmente un ruolo di tipo consulenziale negli interessi della struttura, senza però risultare gravato da responsabilità.

A sostegno di questa lettura giova il dato testuale del regolamento, che all’art. 24 ha posto in capo al titolare il compito di predisporre gli strumenti opportuni, dal punto di vista tecnico e organizzativo, per assicurare la conformità dei trattamenti alle disposizioni normative in ossequio al principio di accountability.

Su questo presupposto le già più volte richiamate Linee guida del Gruppo di lavoro articolo 29 sui responsabili della protezione dei dati, intervenendo a specificare il portato del compito di “sorvegliare l’osservanza” del regolamento hanno stabilito in modo chiaro che “Il controllo del rispetto del regolamento non significa che il RPD (DPO, ndr) sia personalmente responsabile in caso di inosservanza. (...) Il rispetto delle norme in

91 _{Cfr. Patalano A. (a cura di), Reg. (CE) 27-04-2016, n. 2016/679/UE, Articolo 29 - Trattamento sotto}

l'autorità del titolare del trattamento o del responsabile del trattamento, in “In Pratica GDPR”, Leggi D’Italia,

64

materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del RPD (DPO, ndr)”92_.

Agli occhi di molti interpreti questa disposizione, lapidaria, è tale da escludere, sic et simpliciter responsabilità in capo al Data Protection Officer.

Invero, si ritiene che una conclusione di questo tipo sia tutt’altro che pacifica e che, anzi, sia necessario andare ad approfondire i possibili titoli di responsabilità che potrebbero essere addebitati al D.P.O. per cercare di avere un quadro più esauriente di quale sia la situazione attuale e soprattutto di quali potrebbero essere gli sviluppi normativi e giurisprudenziali sul punto.

Pur nel rispetto di quanto affermato sulla necessità di armonizzare le discipline dei diversi ordinamenti nazionali degli Stati membri dell’Unione e quindi nella consapevolezza dell’importanza del lavoro svolto in passato dal Gruppo di lavoro articolo 29 e ora dall’European Data Protection Board a questo fine, è bene ricordare che le linee guida in questione non rappresentano strumenti giuridicamente vincolanti, pur assumendo senza dubbio un valore strategico ed interpretativo indubbio.

È del tutto lecito avanzare soluzioni diverse, specie nell’ambito del diritto penale, che fra i vari settori di un ordinamento giuridico è quello più ancorato alla cultura giuridica di un determinato paese come riconoscono gli stessi atti legislativi dell’Unione, tant’è vero che il regolamento non contiene disposizioni penali, lasciando agli stati membri ogni valutazione relativa alle modalità attraverso le quali apprestare questo tipo di tutela. Ne discende che in presenza di situazioni tali, secondo i canoni di un ordinamento nazionale, tale da far valutare la sussistenza di una responsabilità penale, un documento di soft law come le citate linee guida potrebbe al più costituire una chiave di interpretazione che orienti il giudice ma non un certo un elemento che sia tout court ostativo al riconoscimento di una posizione penalmente rilevante.

Vieppiù, se bene si riflette, le citate linee guida si limitano a sottolineare che l’onere di una corrispondenza dell’organizzazione aziendale ai dettami del regolamento non

92 _{Gruppo di lavoro Articolo 29, Linee guida sui responsabili della protezione dei dati adottate il 13 dicembre}

65

ricade in capo al D.P.O. ma al titolare de trattamento, come si ricava in effetti dal tenore letterale del G.D.P.R., ma non afferma che il D.P.O. debba essere ritenuto irresponsabile per eventuali errori, omissioni, condotte illecite poste in essere nello svolgimento dei propri compiti.

In effetti una soluzione che opti per l’irresponsabilità tout court del D.P.O. appare del tutto inedita e illogica se si pensa che la sua introduzione rappresenta una delle novità più rilevanti del regolamento per gli operatori giuridici ed economici, che in questi anni hanno monitorato, e continuano a monitorare con grande attenzione, il progressivo definirsi di questa figura che fornisce consulenza, ha accesso a tutto ciò che riguarda la privacy all'interno della struttura in cui opera e comporta delle rilevanti implicazioni in termini di prerogative, formazione, posizione, ecc... oltre ad avere il compito di svolgere una funzione di supervisione generale e di contribuire alla diffusione capillare di una sensibilità che valorizzi la tutela dei dati, sia nei confronti della sua struttura che nei confronti degli interessati. È quindi del tutto logico chiedersi come debba essere considerata la sua posizione dal punto.

In effetti, pur risultando ad oggi difficile immaginare quale sarà lo sviluppo giurisprudenziale su questo tema, si ritiene che la centralità del D.P.O. nel quadro del regolamento europeo e le sue attribuzioni specifiche non consentano di risolvere sbrigativamente la questione, rendendo invece necessario svolgere degli approfondimenti per proporre delle ipotesi di risposta, anche prendendo come riferimento altre figure professionali in qualche modo similari.