Riflessi in punto di responsabilità

La scelta di analizzare alcuni esempi pratici in cui, a parere di chi scrive, viene a sostanziarsi l’attività del DPO con riferimento all’obbligo di cooperazione con il Garante, si è resa necessaria al fine di poter trarre ulteriori elementi utili alla definizione della natura giuridica di tale incarico/ufficio, che, come si è visto, non è assimilabile a nessuno di quelli già noti, almeno nel nostro ordinamento nazionale, allorché l’obbligo di cooperazione si traduca nel senso che si è tentato di spiegare nei precedenti paragrafi.

Sebbene, infatti, il DPO sia un organo avente una precipua funzione interna all’azienda, di carattere preminentemente di consulenza e di vigilanza sulla conformità dell’operato del titolare ai princìpi di legge, non può certo non rilevarsi come, in virtù di tale obbligo di cooperazione con l’Autorità, inteso nel senso proposto, lo stesso paia rivestire un ruolo di rilievo non tanto e non solo privatistico, ma quasi, si oserebbe sostenere, “para-pubblicistico”, agendo in qualità di referente della stessa Autorità, la quale in tal modo si assicura, all’interno degli enti pubblici e delle aziende, la presenza di un soggetto con il quale condivide il fine ultimo e fondamentale di tutelare la protezione dei dati personali degli interessati. Si assiste, in sostanza, ad una sorta di “privatizzazione” della stessa Autorità di controllo, cui il DPO si sostituisce nell’ambito delle realtà ove deve essere nominato, presentandosi come un Garante “personale” o di “Garante in casa”, chiamato a tutelare l’interesse dei soggetti interessati, in via preventiva rispetto all’Autorità pubblica.

Non è un caso che molti DPO abbiano sostenuto, nel corso dei dibattiti che in questi anni si sono succeduti, tanto nelle sedi universitarie quanto nell’ambito dei corsi di formazione organizzati da società private, che la sensazione avvertita dai titolari è che spesso il DPO sia più un “ispettore”, che un consulente “dalla parte” del titolare. Così, tuttavia, non deve essere: il DPO riveste pur sempre il ruolo principale di consulente, sebbene egli debba agire secondo canoni di diligenza volti non solo ad adempiere nel migliore dei modi la propria prestazione a salvaguardia dell’interesse del titolare, ma, principalmente, orientando il suo operato nell’ottica della migliore tutela possibile dell’interesse pubblico. A sostegno di tale assunto, basti considerare la necessità che il DPO sia scelto in

195

virtù delle proprie competenze professionali, di carattere altamente specialistico, sebbene, come si è già avuto modo di rilevare, proprio in virtù della natura dell’incarico e delle finalità perseguite attraverso l’introduzione di detta figura nell’ambito di determinate realtà, sarebbe forse stato più utile introdurre un obbligo di certificazione della professione in esame.

Nonostante tutte le considerazioni svolte, non si può tuttavia prescindere dal dato testuale, che non offre alcun margine utile al fine di poter ascrivere tale ruolo entro la categoria dei ruoli aventi rilievo pubblicistico. Infatti, come si è già evidenziato, esattamente come avviene per l’OdV, il legislatore non ha previsto in capo al DPO dei poteri di intervento o impeditivi da esercitare nei confronti del titolare, nonostante la posizione di garanzia che questi riveste, né prevede un obbligo di segnalazione nei confronti dell’Autorità di controllo di eventuali condotte illecite riscontrate.

Ciò costituisce di per sé un chiaro indice della volontà di attribuire a tale soggetto un rilievo meramente endo-organizzativo. Il DPO si presenta, dunque, come un “ufficio interno” della società o dell’ente, il cui operato non ha dirette conseguenze esterne: non a caso, nessuna norma richiede una pubblicità esterna alle risultanze del suo operato. Ciò solo basterebbe ad escludere una responsabilità extracontrattuale nei confronti di eventuali interessati e soggetti terzi lesi dal trattamento. Del resto, il GDPR prevede, agli artt. 82 e 83, che la responsabilità per violazione della legge vada fatta gravare esclusivamente sul titolare del trattamento (e sul responsabile, nei casi previsti), unico destinatario delle sanzioni amministrative irrogate dall’Autorità, nonché dell’obbligo del risarcimento dei danni derivati.

Il DPO, invece, non è destinatario di una specifica responsabilità ad effetto esterno. Si tratta di uno statuto speciale del DPO “che si evidenzia per il fatto che risulta pure sottratto al principio di responsabilità solidale stabilito dal GDPR tra più Titolari e Responsabili”381.

Tuttavia, come evidenziato da autorevole dottrina, sebbene non sia oggetto di specifica disciplina, la responsabilità del DPO non costituisce nemmeno oggetto di espressa esclusione dal dettato legislativo: non pare dunque potersi escludere

381 _{E. TOSI, La responsabilità civile per trattamento illecito dei dati personali, in E. TOSI (a cura}

196

del tutto la possibilità di un’eventuale azione diretta da parte del danneggiato per illecito trattamento dei dati personali, sebbene tale azione non potrà beneficiare del regime speciale di cui all’art. 82 GDPR, riservato alle azioni di responsabilità civile nei confronti del titolare e del responsabile, ma dovrà seguire le regoli comuni del codice civile.

In questo senso, dovrà farsi riferimento all’art. 2043 c.c., in ragione del quale il danneggiante dovrà provare il dolo o la colpa grave del DPO nella causazione del fatto dannoso e del danno subito382. In particolare, tale azione si potrebbe configurare, ad esempio, proprio in tutte quelle ipotesi in cui egli abbia agito in modo colpevole, determinando il titolare ad agire in violazione delle norme del GDPR.

Stante quanto sopra, resta in ogni caso fermo il principio per cui il DPO sarà pur sempre tenuto a rispondere nei confronti del titolare o del responsabile per l’inadempimento dei propri doveri, in virtù del rapporto contrattuale che lo lega a questi, nel caso in cui l’azione di risarcimento danni nei loro confronti, o l’irrogazione di sanzioni, sia stata causata dalla sua condotta negligente.

In tal caso, l’onere della prova relativamente all’inadempimento da parte del DPO degli obblighi contrattuali graverà sul titolare del trattamento. Se questi riuscirà a fornire la prova, sul DPO graverà a sua volta l’onere di provare che l’inadempimento è stato determinato da causa a lui non imputabile, e dunque di essere esente da colpa, o meglio da colpa grave, in considerazione del fatto che ci troviamo dinanzi a una prestazione d’opera intellettuale. Com’è noto, per “professione intellettuale” si intende una prestazione professionale per il cui adempimento è richiesto l’uso di una particolare “preparazione tecnica”, a prescindere dal carattere stabile e continuativo oppure occasionale dell’attività medesima. La professione intellettuale, inoltre, è qualificata dal carattere intellettuale dell’attività svolta, nel senso che l’uso delle facoltà intellettive deve avere un ruolo preminente nell’esplicazione delle prestazioni dedotte in contratto:

382 _{E. TOSI, op. cit., p. 663. L’Autore rileva, invero, che “non si vedono evidenti ragioni per le}

quali un danneggiato che possa contare sull’ampio concorso patrimoniale di titolari e responsabili – in solido tra loro per l’intero danno subito – debba ritenere opportuno citare in giudizio direttamente anche il DPO e affrontare il più gravoso onere probatorio ordinario in assenza di inversione dell’onere della prova prevista, si ribadisce, esclusivamente per i Titolari e i Responsabili”.

197

in tal senso, il criterio della tecnicità e quello dell’intellettualità sono strettamente correlati, ed entrambi strumentali all’esercizio della professione383. Dalla qualificazione di un’attività come intellettuale dipende l’applicazione dell’art. 2236 c.c., il quale prevede che, se la prestazione implica la soluzione di problemi tecnici di speciale difficoltà, il prestatore d’opera non risponde dei danni, se non in caso, appunto, di dolo o colpa grave384.