HOME

/

DIRITTO

/

PRIVACY 2023

/

RESPONSABILE PROTEZIONE DATI: ANCHE PERSONA GIURIDICA

Responsabile Protezione dati: anche persona giuridica

Responsabile protezione dati personali: quali limiti nel caso il compito sia svolto da una persona giuridica? Sentenza TAR Lecce

Ascolta la versione audio dell'articolo

Una recente sentenza del TAR di Lecce (Pubblicata il 13/09/2019  n. 01468/2019.) mette un punto fermo sulla figura  del responsabile della protezione dei dati (di seguito, RPD) nell’ipotesi in cui tale compito sia svolto da una persona giuridica.
Prima di illustrare la sentenza chiariamo i termini della questione,  partendo dal testo del Regolamento UE 679/2016 (Qui il testo integrale),  sulla privacy e dalle Linee guida  sui responsabili della protezione dei dati (RPD) - WP243 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016.

1) Responsabile protezione dati: cosa prevede il RGPD sulle persone giuridiche

Nella Sezione 4 rubricata “Responsabile della protezione dei dati “ l’Articolo 37 Designazione del responsabile della protezione dei dati – per la parte che qui interessa – si legge che:
6.   Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
La scelta può ricadere su un dipendente (sempre che l’ente o l’azienda disponga di un lavoratore con tali qualifiche) oppure su un soggetto esterno, attraverso “un contratto di servizi.”
Ricorrendo a tale seconda scelta, nelle sopra citate Linee-guida, si stabilisce  che “la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi.

Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal RGPD: per esempio:

  • non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto RPD,
  • non è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di RPD.

Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente.”

2) Responsabile protezione dati: il fatto in causa

Il comune di Taranto aveva pubblicato un bando finalizzato alla acquisizione di una manifestazione di interesse per il conferimento dell’incarico biennale per l’attuazione del Regolamento U.E. sulla privacy  n. 679 del 2016 sulla protezione dei dati personali ed individuazione del Responsabile per la Protezione dei Dati (R.P.D.)
E’ risultata vincitrice, a seguito della redazione di una seconda graduatoria (in quanto il primo classificato non aveva dichiarato di essere stato destinatario di una condanna penale) una Società che aveva indicato quale RPD un soggetto che, però, non aveva alcun rapporto di dipendenza con suddetta società.

3) Responsabile protezione dati: la sentenza

I giudici amministrativi hanno rilevato come il predetto “Regolamento UE preveda espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare del trattamento o del responsabile del trattamento (art. 37, par. 6). Ed è chiaro che nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Le Linee Guida (Punto 2.5) hanno specificato che qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà anche essere una persona giuridica.”.
Ad avviso del Collegio giudicante, pur non essendovi dubbi circa il fatto che anche una persona giuridica potesse partecipare alla gara informale de qua svolta dal Comune di Taranto per l’attribuzione dell’incarico per l’attuazione del Regolamento U.E. n. 679/2016 e l’individuazione del Responsabile Protezione Dati, risulta - illegittimamente - non chiarito (in sede di gara), “il legame fra la società ISFORM S.r.l. e il sig. Francesco ZZZZ. Questi non è un socio della Società, ma pare non esserne neanche dipendente.
Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune di Taranto per eventuali inadempimenti e/o danni provocati dal detto soggetto.
Tale doglianza risulta vieppiù fondata e rilevante alla luce di quanto indicato nelle Linee Guida sui responsabili della protezione dati, di rilievo europeo, emanate dal Gruppo di lavoro per la protezione dei dati, che espressamente prevedono, nel caso in cui la funzione di R.P.D. sia esercitata da una persona giuridica, che “ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, così, implicitamente ma inequivocabilmente, dando atto del fatto che il soggetto (persona fisica) operante come R.P.D. debba essere appartenente alla persona giuridica, requisito non provato nel caso de quo per le ragioni sopra espresse.

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

INTELLIGENZA ARTIFICIALE · 28/03/2024 Intelligenza artificiale: il Garante autorità nazionale in materia

Il Garante per la privacy si candida come autorità nazionale competente in materia di AI come previsto dalla legge approvata dal Parlamento UE

Intelligenza artificiale: il Garante autorità nazionale in materia

Il Garante per la privacy si candida come autorità nazionale competente in materia di AI come previsto dalla legge approvata dal Parlamento UE

Mail dipendenti:  proroga delle nuove regole

Dopo la stretta sulla "Privacy della posta elettronica dei lavoratori " il Garante annuncia una proroga e prevede una consultazione pubblica sui dettagli operativi

Email dei dipendenti e privacy

Garante Privacy – Documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.