L’obbligo di cooperazione nei casi di condotta colpevole del titolare del trattamento

L’obbligo di cooperazione conduce ad ulteriori interrogativi, che esulano dai casi esaminati in precedenza di condotta colpevole del DPO nella sua attività consulenziale nei confronti del Titolare.

Si vuol fare riferimento a tutte quelle ipotesi, cui si è già fatto un breve cenno con riferimento ai casi di D.P.I.A. e data breach, in cui il DPO consigli al titolare di agire in un determinato modo, ma questi non si attenga alle disposizioni indicate (non conformando quindi la propria attività alle indicazioni conformi ai dettami di legge) e, ancora più estensivamente, a tutti quei casi in cui il DPO dovesse riscontrare una violazione della normativa in materia di protezione dei dati personali da parte del titolare.

Si è già fatto cenno all’assenza, in capo al DPO, di poteri di intervento o anche latamente sanzionatori nei confronti del titolare, sottolineando come tale previsione non solo escluda la possibilità di configurare il ruolo del DPO alla stregua di ruolo avente rilievo pubblicistico, ma che altresì non consenta allo stesso DPO di poter obbligare il titolare a conformarsi a quanto da lui suggerito. La ratio della mancanza di una tale previsione, peraltro, viene generalmente ricondotta alla considerazione che appare interesse del titolare decidere di conformarsi a quanto indicato dal DPO, ed al contempo è sua assunzione di rischio valutare di non conformarvisi, andando incontro alle eventuali sanzioni. Tuttavia ci si chiede se, in ragione dell’obbligo di cooperazione con l’Autorità di controllo, e della circostanza per cui, come anticipato, la legge non offre delle

192

coordinate specifiche in merito al contenuto dello stesso, il DPO non potrebbe essere ritenuto legittimato a poter segnalare o, in via subordinata (nel caso in cui l’Autorità sia già venuta a conoscenza dell’illecito e chieda delle informazioni al DPO) a fornire le informazioni da questa richieste, nonostante l’obbligo di segretezza che grava su questi ai sensi dell’art. 38, par. 5.

Tale obbligo di segnalazione, infatti, consentirebbe una tutela degli interessati particolarmente elevata, com’è facile intuire, specialmente in tutte quelle ipotesi in cui, ad esempio, questi si accorga di ripetute violazioni del GDPR da parte del titolare (con particolare riferimento ai casi in cui tali violazioni pongano in serio pericolo i diritti e le libertà fondamentali degli interessati).

A tal fine, sembrerebbe inoltre necessario porre in essere una distinzione tra settore privato e settore pubblico. Se, infatti, sul DPO che operi in ambito privato, sia in qualità di dipendente sia in qualità di consulente esterno, non sembra potersi fare gravare un obbligo in tal senso, in quanto in possibile conflitto con il generale obbligo di fedeltà e segretezza nei confronti del datore di lavoro, al contrario, sul DPO operante in ambito pubblico, a maggior ragione se già dipendente dell’ente, dovrebbe forse ritenersi sussistente un obbligo di tale portata, stante il generale dovere di collaborazione nei confronti di altre pubbliche amministrazioni di cui all’art. 3, c. 6, d.P.R. 62/2013, cui sono sottoposti tutti i dipendenti pubblici380_.

Alla luce delle riflessioni svolte, sembra potersi ritenere auspicabile, se non necessario, un ripensamento della disciplina inerente il rapporto tra DPO e Autorità, per lo meno nei casi in cui il DPO sia nominato da un soggetto pubblico, ed in particolar modo nei casi in cui ad essere incaricato sia un soggetto già dipendente dello stesso.

In tal senso, si potrebbe forse azzardare un richiamo alla disciplina normativa nazionale dettata in materia di anticorruzione. Si è detto che, ai sensi di tale normativa, sono stati introdotti degli organismi di carattere innovativo a presidio del sistema costruito ai fini di prevenire i fenomeni di corruzione. Accanto

380 _{Cfr. M. IASELLI, Sanzioni e responsabilità in ambito GDPR, Giuffrè, Collana “Compliance.}

Privacy”, luglio 2019, pp. 126 ss. L’Autore, nelle pagine indicate, limita l’oggetto dell’indagine

all’obbligo di segretezza del DPO, non anche a quello di segnalazione, il quale, tuttavia, si ritiene possa essere assimilato a quello di segretezza, con riferimento al settore pubblico.

193

all’Autorità di controllo pubblica (ANAC), è stata altresì istituita la figura del Responsabile della prevenzione della corruzione (RPCT). Il RPCT è una persona fisica, individuata dagli organi di indirizzo delle amministrazioni e dai soggetti tenuti al rispetto delle norme in materia di prevenzione della corruzione, titolare di compiti stabiliti dalla legge e dalle indicazioni programmatiche dell’ANAC, a cui viene affidato il compito di gestire, coordinare e vigilare sulle “misure” di prevenzione del rischio corruttivo. Tali funzioni, già a primo impatto, richiamano quelle del DPO, nonché quelle dell’OdV, caratterizzandosi anch’esso per il suo ruolo di “vigilante” e “garante” del sistema. Tuttavia, ciò che, tra l’altro, contraddistingue la prima figura rispetto alle altre due sono i poteri di intervento che gli vengono riconosciuti, anche a carattere sanzionatorio, nei confronti dell’amministrazione in cui opera, che si rivelano necessari al fine di poter meglio garantire il modello di tutela pensato dalla legge, consentendogli di agire in maniera concreta per ridurre i fenomeni di cattiva amministrazione. Ma vi è di più. Al RPCT, infatti, viene riconosciuto altresì un obbligo di segnalazione, tra gli altri, anche nei confronti dell’ANAC, ai sensi dell’art. 43, d. lgs 33/2013 (nei casi in cui l’amministrazione sia inadempiente rispetto agli obblighi di pubblicazione previsti dalla normativa vigente) e ai sensi dell’art 15, d. lgs. 39/2013 (nei casi di possibile violazione delle disposizioni del richiamato decreto).

Come già anticipato, l’introduzione di un obbligo di questo tipo, quanto meno nell’ambito delle realtà pubbliche, anche in considerazione del significato che la cooperazione con il Garante sembra avere, potrebbe essere considerato un apporto migliorativo per il sistema di protezione dei dati, soprattutto in queste realtà. Inoltre, è il caso di evidenziare che una ipotesi di questo tipo non è completamente avulsa neanche rispetto al sistema di controlli interni tipici delle società private. Basti richiamare quanto già rilevato con riferimento all’OdV, rispetto al quale la disciplina in materia di antiriciclaggio ha introdotto, appunto, l’obbligo di segnalazione nei confronti dell’Autorità pubblica. Ciò ad ulteriore sostegno della tesi per cui, in settori particolarmente esposti a rischio, la possibilità di salvaguardare l’interesse pubblico attraverso l’intervento a carattere “preventivo” di un’Autorità istituita al precipuo fine di un’efficace tutela dello stesso, può rivelarsi decisivo.

194