Il Data Protection Officer interno: come garantirne l’indipendenza? La recente pronuncia della Corte di Giustizia dell’UE

Con l’entrata in vigore del Regolamento UE 2016/679 (“GDPR”), le organizzazioni sono state chiamate a valutare se fosse opportuno o necessario nominare la figura del Data Protection Officer (“DPO”) e, in caso affermativo, se affidare tale ruolo di garanzia a soggetti interni oppure esterni all’organizzazione medesima.

Occorre premettere che la normativa ammette l’affidamento dell’incarico sia ad un soggetto interno all’organizzazione, sia ad un consulente esterno, e non opera alcuna distinzione circa i requisiti richiesti intorno a tale figura. Tale scelta è pertanto rimessa alla discrezionalità del titolare/responsabile, che dovrà declinare i requisiti normativi previsti alla situazione concreta e valutare quale soluzione gli consenta di rispettarli al meglio.  

Tra le varie disposizioni del GDPR, quella che merita particolare attenzione attiene all’obbligo per il titolare/responsabile di garantire l’indipendenza funzionale e l’autonomia del DPO (art. 38 GDPR e considerando 97 del GDPR), il che si sostanzia nella previsione che:

  • non riceva istruzioni sull’approccio da seguire in uno specifico trattamento, sul come condurre gli accertamenti su un reclamo, sul valutare se consultare o meno l’autorità di controllo o sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati;
  • non subisca nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti propri della sua funzione;
  • possa riferire direttamente al vertice gerarchico del titolare o del responsabile del trattamento;
  • abbia risorse finanziarie, “temporali” e strutturali (sede, attrezzature, strumentazione) oltre che, ove opportuno, personale di supporto;
  • non operi in conflitto di interessi con eventuali ulteriori compiti e funzioni che svolge per il titolare.

Stando quindi all’interpretazione del dato normativo, il ruolo di DPO dovrebbe essere affidato ad una figura apicale, a diretto rapporto con il vertice dell’organizzazione, peraltro dedicata alle attività proprie del ruolo di DPO e che sia nella posizione di poter esprimere il proprio dissenso al più alto livello del management nelle ipotesi in cui vengano assunte decisioni incompatibili con il GDPR e con le indicazioni fornite dal medesimo DPO.

Appare chiaro, quindi, che la garanzia di indipendenza del DPO risulta un obiettivo più facilmente perseguibile nel caso di affidamento dell’incarico ad un soggetto esterno ed “estraneo” alle vicende organizzative aziendali.

Diversamente, la scelta del titolare/responsabile di individuare per tale ruolo un soggetto interno all’azienda dovrà essere corredata da un ripensamento dei processi aziendali che garantisca la creazione di quello spazio di indipendenza di cui necessita il DPO per svolgere i propri compiti di consulenza e vigilanza.

LA RECENTE PRONUNCIA DELLA CORTE DI GIUSTIZIA DELL’UE SULLA POSIZIONE DEL DPO

Proprio recentemente, con sentenza n. 453/21 del 09/02/2023, la Corte di Giustizia dell’UE (“CGUE”) si è pronunciata in merito alla figura del DPO, in particolare su una vicenda vertente sulla rimozione dall’incarico di un DPO interno e sul potenziale conflitto di interessi che si può configurare quando tale ruolo viene ricoperto da un soggetto interno all’organizzazione aziendale.

La controversia passata al vaglio della CGUE prende origine dal licenziamento di un lavoratore cui la società aveva affidato formalmente l’incarico di DPO. Il lavoratore licenziato ricopriva contestualmente la carica di presidente del Consiglio aziendale (organo di rappresentanza dei lavoratori previsto dall’ordinamento tedesco) e di vicepresidente di tale Consiglio in alcune società di gruppo. Tale licenziamento avveniva in ragione di una ri-organizzazione societaria che, tra le varie modifiche previste, prevedeva anche l’esternalizzazione di tale incarico.

Il lavoratore impugnava allora il licenziamento, contestandone la validità alla luce del GDPR e della legislazione tedesca: l’art. 6, paragrafo 4, della legge federale tedesca sulla protezione dei dati dispone infatti che “non è ammessa la risoluzione del rapporto di lavoro con il Data Protection Officer se non in presenza di fatti tali da consentire all’organismo pubblico una risoluzione per giusta causa senza preavviso”.

Sia i giudici di primo grado che quelli del rinvio ritenevano illegittimo il licenziamento del lavoratore sulla base della valutazione per cui il provvedimento di ristrutturazione aziendale descritto dalla società non può costituire una giusta causa di licenziamento.

Il giudice del rinvio, tuttavia, sollevava dubbi in merito alla compatibilità della disposizione nazionale di cui sopra con l’art. 38 del GDPR, precisamente nella parte in cui prevede che “il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”. La Corte federale del lavoro tedesca, quindi, sollevava un dubbio sulla possibilità per gli Stati membri di individuare criteri più rigorosi per la rimozione del DPO dal suo incarico; sospendeva quindi il procedimento e sottoponeva la questione alla CGUE.

In particolare, la Corte tedesca sottoponeva all’attenzione della CGUE un duplice ordine di quesiti:

  • se l’articolo 38, paragrafo 3 del GDPR osti alla possibilità che la normativa di uno Stato membro subordini la rimozione di un DPO a condizioni più rigorose di quelle previste dal diritto dell’Unione, anche laddove il licenziamento non sia connesso all’esercizio dei compiti del DPO;
  • se le funzioni di presidente del consiglio aziendale e di DPO di una stessa azienda possano essere esercitate da una stessa persona o se ciò comporti un conflitto di interessi ai sensi del GDPR.

In ordine al primo quesito, la Corte ha precisato che l’art. 38, par. 3 GDPR persegue l’obiettivo di tutelare l’indipendenza funzionale del DPO, vietandone la rimozione o la previsione di svantaggi o sanzioni a suo danno per motivi relativi all’adempimento dei suoi compiti. Tale obiettivo emerge e viene confermato altresì dal medesimo articolo, nella parte in cui prevede che il DPO non debba ricevere alcuna istruzione sull’esecuzione dei suoi compiti e che debba riferire direttamente al vertice gerarchico del titolare o del responsabile del trattamento.

Di conseguenza, la Corte ritiene ammissibile che ciascuno Stato membro preveda disposizioni particolari e più tutelanti in materia di rimozione del DPO, purché compatibili con il diritto dell’Unione e, in particolare, con le disposizioni del GDPR e gli obiettivi dallo stesso perseguiti. Ad esempio, tale compatibilità non sussisterebbe nel caso in cui venga impedita la rimozione di un DPO che non possiede più le qualità professionali richieste per assolvere i suoi compiti. Spetterà quindi al giudice nazionale assicurarsi che disposizioni particolari come quelle oggetto della vicenda in esame siano compatibili con l’assetto normativo europeo e con gli obiettivi dallo stesso perseguiti.

In ordine al secondo quesito, la Corte ha chiarito che:

  • il GDPR non stabilisce alcuna incompatibilità di principio tra l’esercizio delle funzioni di DPO e altre eventuali funzioni esercitate presso il titolare o il responsabile del trattamento. Anzi, l’art. 38 par. 6 GDPR prevede specificamente che al DPO possa essere affidata l’esecuzione di compiti e funzioni diversi da quelli cui è tenuto in forza dell’art. 39 del GDPR;
  • compete tuttavia al titolare o al responsabile del trattamento garantire che tali altri compiti e funzioni non facciano insorgere un “conflitto di interessi”. In sostanza, il DPO non può essere incaricato dell’esecuzione di compiti o funzioni che compromettono l’esercizio delle funzioni proprie del DPO. Ne consegue, in particolare, che egli non può svolgere compiti o funzioni che lo inducono a determinare le finalità e i mezzi del trattamento dei dati svolti presso il titolare o il responsabile del trattamento.

La constatazione dell’esistenza di un conflitto di interessi deve essere effettuata caso per caso, sulla base di una valutazione complessiva delle circostanze rilevanti, in particolare della struttura organizzativa del titolare o del responsabile del trattamento e alla luce della normativa applicabile e delle politiche interne adottate dall’organizzazione medesima.

Non v’è quindi un elenco esaustivo di situazioni di incompatibilità, ma spetterà al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze di fatto se tale conflitto di interessi possa dirsi esistente o meno.

A ben vedere, la pronuncia ricalca le indicazioni già fornite dal Gruppo di Lavoro ex art. 29 nelle “Linee guida sul DPO” che ritengono esposti a conflitto di interessi quei soggetti all’interno dell’organizzazione del titolare del responsabile del trattamento che ricoprono ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche ruoli gerarchicamente inferiori se questi ultimi comportano la determinazione di finalità o mezzi del trattamento.

In conclusione, le organizzazioni che intendono o devono nominare un DPO dovranno ponderare molto attentamente la scelta di affidare l’incarico di DPO ad un soggetto interno, valutando preventivamente l’assetto organizzativo della propria struttura e i processi aziendali per fare in modo e riuscire a dimostrare che tale soggetto operi in autonomia e indipendenza e in assenza di conflitto di interessi.

Facebook
Twitter
LinkedIn
WhatsApp
Dopo aver conseguito la laurea in giurisprudenza presso l’Alma Mater di Bologna, l’avvocato Federica Pucarelli ha conseguito il “Master di Specializzazione di I livello

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?