La sentenza del TAR Lecce del 13 settembre 2019, n

Con specifico riferimento alla nomina di una società esterna, merita di essere segnalata la recente sentenza del TAR Lecce del 13 settembre 2019, n. 1468353, con la quale è stato sancito che, se l’incarico di DPO è assegnato ad una società esterna, la persona fisica che agisce per suo conto nei rapporti con il titolare, deve necessariamente appartenere all’organico della persona giuridica assegnataria. La pronuncia, pur occupandosi della nomina del DPO nel settore pubblico (si tratta infatti di un caso relativo ad assegnazione dell’incarico di DPO da parte di un Comune), sancisce un principio che si presta a trovare applicazione anche in ambito privatistico.

In particolare, nella vicenda in questione, il TAR ha annullato l’aggiudicazione, da parte di una società a responsabilità limitata, di un incarico biennale di DPO affidatole da un Comune, poiché la stessa aveva indicato quale incaricato allo svolgimento dell’attività un consulente esterno alla medesima.

La motivazione adottata dal Giudice amministrativo si basa sulla considerazione che l’ufficio di DPO non possa essere affidato ad una persona esterna alla società affidataria dell’incarico, ma necessariamente ad una persona “appartenente” alla struttura o all’organico della stessa.

Il Giudice, richiamando la versione italiana delle linee guida del WP29, considerate dallo stesso giudicante testo d’interpretazione autentica del GDPR,

162

nella parte in cui specificano che “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come R.P.D. soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, evidenzia come tali linee guida richiedano, implicitamente, ma inequivocabilmente, che la persona fisica operante come DPO debba essere “appartenente” alla persona giuridica, e che tale requisito di “appartenenza” vada provato con documenti contrattuali significativi e coerenti.

Nel caso di specie, secondo la pronuncia del TAR, tale prova di “appartenenza” sarebbe mancata: la mera proposta di incarico allegata in atti dalla società, infatti, non poteva essere considerata idonea a provare il rapporto sotteso tra questa e il soggetto indicato per lo svolgimento dell’attività di DPO, per due ordini di ragioni. La prima valutazione era relativa alla circostanza per cui la predetta proposta di incarico, datata 12 ottobre 2018, non era stata registrata né allegata alla domanda di partecipazione alla selezione (versata in atti dal Comune di Taranto), da ciò derivando l’impossibilità di dare piena prova del fatto che tra il consulente incaricato quale DPO del Comune e la società affidataria intercorresse un vincolo giuridico preliminare alla partecipazione di quest’ultima alla gara pubblica, come, invero, sostenuto dalla società stessa.

La seconda ragione risiedeva invece nella circostanza per cui «la scrittura privata fra la Isform & Consulting ed il Dr. F.M. del 12 ottobre 2018 parla esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali, in cui il soggetto incaricato, ossia il Dr. M., può godere, ai sensi degli articoli 2222 e seguenti del codice civile, di una propria autonomia nell’esplicazione dell’incarico, atteso che la lettera di conferimento non esclude tale possibilità con vincolo contrattuale, così ponendo seri dubbi circa la sussistenza del sopra menzionato requisito dell’appartenenza».

Dunque, secondo il giudice, la “autonomia nell’esplicazione del mandato”, implicita nel conferimento d’incarico da parte della società nei confronti dell’incaricato, sarebbe incompatibile con quanto richiesto dal GDPR. Così ragionando, il giudice assimila il concetto di appartenenza a quello di dipendenza/subordinazione, da ciò deducendo che il ruolo di DPO non possa

163

essere svolto da una figura che non sia sottoposta a un vincolo di subordinazione nei confronti della persona giuridica cui viene affidato l’incarico da parte del titolare. Di talché, posto che dalla lettera d’incarico dedotta in atti risaltava la connotazione autonoma dell’incarico affidato dalla società alla persona fisica, e che l’autonomia è il requisito tipico caratterizzante la libera professione, la nomina andava ritenuta illegittima.

L’interpretazione offerta, tuttavia, non sembra del tutto condivisibile, dal momento che, probabilmente, sarebbe stato più opportuno interpretare tale concetto di “appartenenza” come necessità di un coinvolgimento del lavoratore nella società, che non deve necessariamente manifestarsi nelle forme di una subordinazione al datore di lavoro, tipico del rapporto di lavoro dipendente354. D’altronde, appare piuttosto illogico sostenere che la persona fisica, che svolge l’incarico di DPO, debba essere indipendente ed autonoma rispetto al titolare del trattamento, ma al contempo obbedire agli ordini dell’ente incaricato a svolgere il ruolo del DPO.

Secondo alcuni commentatori, inoltre, la questione di vero rilievo sarebbe quella relativa alla qualificazione del contratto intercorrente tra la società ed il soggetto da questa incaricato come DPO. In particolare, ci si è chiesti se tale contratto possa essere ricompreso in quello di subappalto disciplinato ex art. 105 D. Lgs. 50/2016 (sebbene il comma 2 escludi dal novero del subappalto l’affidamento di attività specifiche a lavoratori autonomi, per le quali occorre effettuare comunicazione alla stazione appaltante, e le prestazioni rese in favore dei soggetti affidatari in forza di contratti continuativi di cooperazione, servizio e/o fornitura sottoscritti in epoca anteriore alla indizione della procedura finalizzata alla aggiudicazione dell’appalto), o se sia utilizzabile l’istituto dell’avvalimento, di cui all’art. 89 del Codice degli Appalti355. Sul punto, si consideri che il codice prevede espressamente che l’appaltatore possa avvalersi di soggetti terzi per l’espletamento dell’opera o del servizio affidatogli dalla PA, imponendo soltanto che il contratto di avvalimento sia preesistente alla domanda di partecipazione alla

354 _{A. CICCIA MESSINA, Stop all’incetta di nomine di data protection officer, rinvenibile al link}

https://federprivacy.org/informazione/primo-piano/item/1029-dpo-stop-alla-incetta-di-nomine.

355 _{Cfr. G. B. GALLUS, Il DPO deve essere dipendente dell’azienda affidataria dell’incarico”: il}

Tar Lecce fa discutere, reperibile al link https://www.cybersecurity360.it/news/il-dpo-deve-essere- un-dipendente-non-puo-essere-esterno-il-tar-lecce-fa-discutere/.

164

gara e abbia una data certa antecedente alla presentazione della candidatura: nel contratto di avvalimento, peraltro, è pacifico che l’ausiliario non è “dipendente” del concorrente in gara.

Accanto alle considerazioni sin qui svolte, merita di essere messa in luce un’ulteriore riflessione: il giudice, nel decidere il caso in esame, interpreta la versione italiana delle Linee guida, e non la versione ufficiale redatta in lingua inglese. Dal confronto delle due, emerge che la versione inglese si limita a specificare che tutti i membri della persona giuridica (team) nominata DPO debbano soddisfare i requisiti previsti dal GDPR e che agli stessi vengano riconosciute le relative garanzie, senza imporre loro alcun rapporto di dipendenza o para-subordinazione rispetto alla società356. Pertanto, se il giudice si fosse attenuto alla versione inglese delle Linee guida (che è poi quella ufficiale) non è difficile ipotizzare che sarebbe giunto ad una diversa conclusione, cioè che, allorquando l’incarico sia affidato ad una persona giuridica, e non ad una fisica, questo possa essere svolto da chiunque sia legato alla persona giuridica da un rapporto di lavoro subordinato ovvero da un contratto d’opera intellettuale.

6.3.3 La composizione collegiale dell’ufficio del Data Protection Officer: