TUTELA DEI DATI PERSONALI
Garante privacy: nel caso di DPO persona giuridica, la persona fisica referente non deve essere obbligatoriamente un dipendente.
Rispondendo ad una segnalazione, l’Autorità Garante per la protezione dei dati personali chiarisce – prima Autorità a farlo in Europa – il concetto di “appartenenza” delle persona fisica referente di una persona giuridica quando quest’ultima viene designata quale Responsabile della protezione e dei dati personali – DPO.
In un bando di concorso il committente aveva richiesto quale requisito che le persone fisiche appartenenti alla persona giuridica da nominare DPO fossero obbligatoriamente legate a questa da vincolo di subordinazione, escludendosi dunque professionisti o altri soggetti legati da contratti di servizio o di prestazione d’opera intellettuale. Il Garante ha chiarito che “nessuna disposizione del regolamento 679/2016 richiede la sussistenza di un rapporto di subordinazione tra la persona giuridica designata quale DPO e la persona fisica che, per conto di detta persona giuridica, svolga il ruolo di referente presso l’ente designante”. Non vi è alcuna connotazione giuridica – continua l’Authority privacy – del concetto di “appartenenza" nelle Linee Guida sul DPO, proprio ai fini di non interferire negli ordinamenti nazionali quanto ai profili di regolamentazione dei rapporti di lavoro.
Quindi, conclude il Garante – “non si può interpretare il concetto di “appartenenza” quale vincolo di dipendenza parificabile ad un rapporto di lavoro subordinato come ad esempio quello di cui all’art. 2094 del c.c.”. In ogni caso, l’ente designante o committente potrà sempre richiedere alle società candidate all’incarico di DPO adeguate informazioni eventualmente corredate da apposita documentazione circa la persona fisica da indicare quale referente e in particolare: i dati identificativi, il possesso dei requisiti fissati dall’art. 37, comma 5 del GDPR, compresa la capacità di assolvere ai propri compiti (ad esempio assicurando che tale persona fisica non abbia già un numero di incarichi che gli impedirebbe di assolvere al ruolo) o il tipo di rapporto contrattuale intrattenuto.
Il Garante conclude con dei suggerimenti: ad esempio, l’ente committente potrebbe valutare l’opportunità di inserire all’interno del contratto una clausola che obblighi la persona giuridica affidataria a comunicargli ogni variazione, intervenuta in sede di esecuzione, intervenuta nell’ambito dei rapporti con la persona fisica referente previamente individuata. Ciò consentirebbe al titolare del trattamento di verificare che il DPO garantisca nel tempo l’effettivo possesso dei requisiti richiesti ai sensi dell’art. 37. 5
In un bando di concorso il committente aveva richiesto quale requisito che le persone fisiche appartenenti alla persona giuridica da nominare DPO fossero obbligatoriamente legate a questa da vincolo di subordinazione, escludendosi dunque professionisti o altri soggetti legati da contratti di servizio o di prestazione d’opera intellettuale. Il Garante ha chiarito che “nessuna disposizione del regolamento 679/2016 richiede la sussistenza di un rapporto di subordinazione tra la persona giuridica designata quale DPO e la persona fisica che, per conto di detta persona giuridica, svolga il ruolo di referente presso l’ente designante”. Non vi è alcuna connotazione giuridica – continua l’Authority privacy – del concetto di “appartenenza" nelle Linee Guida sul DPO, proprio ai fini di non interferire negli ordinamenti nazionali quanto ai profili di regolamentazione dei rapporti di lavoro.
Quindi, conclude il Garante – “non si può interpretare il concetto di “appartenenza” quale vincolo di dipendenza parificabile ad un rapporto di lavoro subordinato come ad esempio quello di cui all’art. 2094 del c.c.”. In ogni caso, l’ente designante o committente potrà sempre richiedere alle società candidate all’incarico di DPO adeguate informazioni eventualmente corredate da apposita documentazione circa la persona fisica da indicare quale referente e in particolare: i dati identificativi, il possesso dei requisiti fissati dall’art. 37, comma 5 del GDPR, compresa la capacità di assolvere ai propri compiti (ad esempio assicurando che tale persona fisica non abbia già un numero di incarichi che gli impedirebbe di assolvere al ruolo) o il tipo di rapporto contrattuale intrattenuto.
Il Garante conclude con dei suggerimenti: ad esempio, l’ente committente potrebbe valutare l’opportunità di inserire all’interno del contratto una clausola che obblighi la persona giuridica affidataria a comunicargli ogni variazione, intervenuta in sede di esecuzione, intervenuta nell’ambito dei rapporti con la persona fisica referente previamente individuata. Ciò consentirebbe al titolare del trattamento di verificare che il DPO garantisca nel tempo l’effettivo possesso dei requisiti richiesti ai sensi dell’art. 37. 5
