La Sentenza del Tar Puglia, sezione di Lecce, n.1468/2019 è intervenuta in materia di procedura di designazione del responsabile della protezione dei dati stabilendo che, nel caso di affidamento del servizio Dpo a una persona giuridica, il soggetto che esercita tale funzioni debba necessariamente essere dipendente della società stessa che offre il servizio di Dpo. E non possa quindi essere un professionista esterno.

Una figura centrale, quella del DPO, nell’impianto del GDPR, ma decisamente svilita dal reclutamento di persone senza le necessarie conoscenze specialistiche, confusa con un privacy manager, spesso pregiudicata nella sua autonomia e indipendenza.  Il Tar Puglia evidenzia invece che il Dpo è una funzione di alta specializzazione, che non si improvvisa dall’oggi al domani e che non può essere solo un’occasione per diversificare il business, senza garanzia di qualità della prestazione. Nello specifico la sentenza annulla l’aggiudicazione di un incarico biennale di Dpo a una società a responsabilità limitata, che ha indicato, per lo svolgimento dell’attività, un consulente esterno. La motivazione del provvedimento è questa: la SRL ha designato all’ufficio di Dpo una persona esterna alla società, senza precisare e provare che quest’ultima “appartiene” alla società. Manca, secondo la pronuncia, la prova dell’appartenenza.

Si precisa che, come esplicato dalle Linee Guida redatte in materia di DPO dall’allora operativo “Gruppo di Lavoro Articolo 29” (WP243, adottate il 13 dicembre 2016 ed emendate in data 5 aprile 2017), la funzione di DPO può essere esercitata anche in base a un contratto di servizi stipulato con una persona giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento; in tale caso, le medesime linee guida raccomandano che ci sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente, risultando utile, in via generale, inserire relative specifiche disposizioni nel contratto di servizi. Secondo il Tar, dunque, la situazione (società nominata DPO, la quale designa un soggetto esterno alle funzioni per lo specifico titolare del trattamento, ovvero l’”incaricato”, senza provare l’appartenenza dello stesso) viola il Regolamento Ue 2016/679, da considerarsi nella interpretazione fornita dalle sopra citate Linee Guida: a detta del Tar sarebbe una interpretazione “autentica”.

Nello specifico, il Tar Puglia fonda la sua decisione analizzando le Linee Guida, nella parte in cui danno atto del fatto che, qualora la funzione di DPO sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del GDPR”. Questo estratto richiede inequivocabilmente il requisito dell’appartenenza che, secondo il Tar, va provato da documenti contrattuali. Ciò è senz’altro condivisibile, poiché non è altro che la citazione testuale delle Linee Guida.

In conclusione sarebbe illegittima una grandissima parte delle nomine di DPO effettuate a favore di persone giuridiche, in quanto queste ultime si avvalgono, costantemente, di professionisti esterni che garantiscono (o meglio dovrebbero garantire) la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e la capacità di assolvere i compiti richieste dall’art. 37, par. 5 del GDPR.