L’obbligo di cooperazione nei casi di condotta colpevole del Data Protection Officer

Alla luce dell’interpretazione offerta in merito all’obbligo di cooperazione, appare lecito domandarsi se lo stesso, nel significato che si è inteso attribuire, eserciti un’influenza particolare sulla natura giuridica del ruolo del DPO ed

188

eventualmente anche sui profili di responsabilità ad esso correlati. Del resto, tale obbligo, come si è visto, viene sancito dall’art. 39 lett. d), ma la norma, come già evidenziato, non ne specifica né il contenuto, né opera, a tal fine, un richiamo diretto e univoco ad altre specifiche norme del GDPR. Di certo, le norme attenzionate nei paragrafi precedenti (artt. 33 e 36 GDPR), prevedono una necessaria attività collaborativa tra DPO e Autorità, che prenderebbe avvio nel momento in cui il titolare comunica a quest’ultima i dati di contatto del DPO. Se l’obbligo di cooperazione si limitasse a tale attività collaborativa, è evidente come non potrebbe sorgere alcun dubbio circa la configurazione del DPO quale ufficio avente rilevanza meramente interna all’ente in cui viene ad operare e che si limita a facilitare le comunicazioni tra Autorità ed organizzazione.

Tuttavia, come si è avuto modo di sottolineare, non sembra che l’interpretazione dello stesso possa esaurirsi in una collaborazione, di carattere principalmente tecnico, successiva alla notifica, ritenendo piuttosto che il vero portato andrebbe rintracciato nel momento antecedente, vale a dire quello del rilascio del parere al titolare. Questo è il momento in cui il DPO è chiamato a garantire i diritti degli interessati, attraverso una valutazione circa la necessità o meno di far intervenire l’Autorità pubblica. Se, con il suo operato negligente, egli dovesse ritenere la consultazione preventiva non necessaria, precludendo così l’intervento pubblico, e dunque anche la possibilità (per l’Autorità) di vietare il trattamento nel caso in cui lo stesso sia troppo rischioso, è lecito domandarsi se possa ritenersi esonerato da qualsiasi responsabilità, che non sia quella di mero inadempimento nei confronti del titolare. A causa di tale inadempimento, infatti, i soggetti interessati non potrebbero godere della più ampia tutela loro spettante, che, invece, sarebbe garantita proprio dall’intervento dell’Autorità pubblica.

Ciò che si vuole sostenere è che, nei casi in esame, le situazioni in capo agli interessati appaiono ancora più rilevanti di quella dell’interesse (privato del titolare) a che il DPO adempia diligentemente ai propri doveri per non incorrere in eventuali sanzioni amministrative o in responsabilità nei confronti degli stessi interessati; peraltro, in condizioni normali, vale a dire in caso di operato diligente del DPO, tali situazioni degli interessati verrebbero garantite dall’intervento preventivo dell’Autorità pubblica.

189

Probabilmente, al fine di superare tali criticità, sarebbe stato opportuno prevedere a monte un obbligo di consultazione preventiva dell’Autorità al termine del D.P.I.A., ovvero un obbligo di notifica del data breach, in ipotesi specifiche. Una previsione di questo tipo sembra poter costituire, infatti, l’unica soluzione possibile al fine di prevenire i fenomeni di cui sopra e salvaguardare l’interesse dei soggetti interessati.

Del resto, altre soluzioni non sembrano essere percorribili, vale a dire, ad esempio, una modifica normativa finalizzata a sgravare il titolare da responsabilità nei confronti dei soggetti lesi al ricorrere delle circostanze di cui sopra, o l’introduzione di eventuali sanzioni dirette nei confronti del DPO da parte dell’Autorità.

Dunque, al ricorrere delle suddette circostanze, sarà pur sempre il titolare a dover rispondere del proprio operato, anche quando questi sia stato a sua volta condizionato dall’operato negligente del DPO, poiché, come sostenuto da una parte della dottrina, l’assenza di colpa del primo nella causazione dell’evento, per aver egli posto in essere l’azione in esecuzione delle istruzioni ricevute dal secondo, non può tradursi in causa di liberazione dalla responsabilità, potendo rintracciarsi una responsabilità per culpa in eligendo del DPO379. Ci si potrebbe, tuttavia, interrogare sulla possibilità per il titolare di andare esente da eventuali sanzioni di carattere meramente amministrativo, qualora non si sia verificato alcun danno nei confronti di soggetti terzi, ma l’Autorità abbia comunque riscontrato, in seguito ad accertamento successivo, la violazione degli obblighi di cui si è detto.

A sua volta, il DPO non può essere destinatario di un provvedimento di carattere sanzionatorio da parte dell’Autorità, potendo tutt’al più essere destinatario di un’azione diretta da parte dei soggetti lesi, sebbene sia difficile, per i motivi che si vedranno, poter ipotizzare che questi decidano di agire direttamente contro di lui. Una soluzione che attenuerebbe in parte tale problema potrebbe poi essere, anche alla luce delle riflessioni svolte in merito alle qualità professionali del DPO, quella di introdurre dei meccanismi di certificazione obbligatoria: se, come più volte sottolineato, la figura del DPO serve a garantire una “presenza mediata” del

190

pubblico nel privato, non solo in punto di garanzia a che l’operato del titolare sia conforme al dettato legislativo (funzione, questa, che così interpretata non consentirebbe di cogliere una distinzione effettiva tra il ruolo del DPO e quello degli altri organi di garanzia previsti negli altri settori di riferimento), ma anche nel senso secondo cui è sul DPO che verrebbe a gravare la possibilità o meno per l’Autorità pubblica di intervenire immediatamente in quei settori caratterizzati da un elevato rischio per i diritti e le libertà dei singoli, l’introduzione di un sistema di certificazione, basato, ad esempio, sull’obbligatoria frequenza di corsi professionali (erogati su autorizzazione/accreditamento dell’Autorità garante o da Università Statali) che mirino a offrire al DPO le competenze necessarie per il settore in cui questi si trovi ad operare, garantirebbe l’adeguata formazione professionale di quest’ultimo. L’eventuale negligenza, imprudenza o imperizia, per lo meno, non sarebbero condizionate dal mancato possesso delle competenze adeguate a svolgere un incarico che richiede una professionalità oltremodo avanzata e specialistica, che non è detto possano avere coloro i quali vengono nominati sulla base del titolo di studi di stampo giuridico, o, nei migliori casi, sulla frequenza di corsi generici, ovvero ancora in virtù di esperienze maturate, ma magari non nel settore per il quale si trovano poi ad operare. Rimettendo la scelta del candidato alla posizione di DPO al titolare ed al responsabile, infatti, ben potrebbe accadere che questi si trovi finanche “costretto” a dover nominare un soggetto che possiede delle competenze generali, ma non specialistiche, con riferimento al settore per il quale questi è richiesto, perché magari vi sono pochi candidati alla posizione.

È chiaro che la soluzione paventata, pur non risolvendo del tutto il problema, possa tuttavia tentare di arginarlo.

Altra soluzione, più azzardata, potrebbe essere quella dell’istituzione, da parte del legislatore, di un albo professionale dei DPO, tenuto e gestito dall’Autorità Garante e con accesso vincolato al superamento di una prova abilitativa di carattere nazionale. In primo luogo, l’iscrizione all’albo previo superamento dell’esame consentirebbe di risolvere quanto evidenziato prima con riferimento alla necessità di una certificazione. Ma, soprattutto, l’iscrizione all’albo, previo superamento dell’esame abilitativo, e dunque il riconoscimento ufficiale della

191

figura in esame, offrirebbe delle garanzie più accentuate a tutti i soggetti che gravitano nel sistema della protezione dei dati personali, dunque non solo al DPO, ma anche ai titolari, ai responsabili ed agli interessati. Il DPO, infatti, sarebbe più solerte nell’adempimento dei propri compiti, stante il rischio di incorrere non solo in un’ipotesi di responsabilità contrattuale nei confronti del titolare, ma altresì in una responsabilità di carattere disciplinare, potendo l’Autorità comminare delle sanzioni quali, a titolo esemplificativo, la sospensione dall’albo, o la revoca nei casi più gravi.

3.1.4 L’obbligo di cooperazione nei casi di condotta colpevole del titolare del