***
A quasi un anno dalla piena efficacia del GDPR, bisogna rilevare che l’introduzione dell’obbligo di dotarsi del DPO ha portato in Italia perlopiù all’adozione di soluzioni di compromesso poco rispondenti alla normativa.
Dalla lettura di bandi di gara, manifestazioni di interesse formulate da società private etc., appare infatti evidente come assai spesso la nomina del DPO rappresenti un mero adempimento formale, peraltro assolto nell’ottica dominante dell’economicità e del risparmio, che in molti casi conduce a scegliere lo stesso soggetto che ha effettuato (o – addirittura – sta effettuando) l’attività di adeguamento al GDPR dell’ente designante.
Tale soluzione non è conforme alla legge.
L’art. 38, comma 6, GDPR dispone infatti che il Titolare o il Responsabile del trattamento devono “assicurarsi” che il DPO non agisca in “conflitto di interessi”.
Cosa significa in pratica?
L’EDPS nel Position Paper del 30.9.2018 ha così riassunto le situazioni di incompatibilità rispetto all’assunzione del ruolo di DPO all’interno di un’organizzazione:
“Functions that would in principle be incompatible with the DPO function include high level positions within management, human resources, IT services, medical services, security services, internal audit, etc.” …“A conflict of interests may typically also arise (even for lower level positions), (…) when a DPO who is also part of the compliance team must assess compliance checks and related data processing that they have designed.”) (cfr. par. 4.5).
In altre parole, il conflitto di interessi si configura qualora il DPO si trovi o possa trovarsi a controllare situazioni di gestione di dati personali da lui stesso determinate per posizione gerarchica o in virtù della propria funzione o incarico: vale a dire, quelle situazioni in cui si trovi, contemporaneamente, a essere controllore e controllato. E ciò a prescindere dal livello gerarchico coinvolto.
Cosa succede se il DPO si trova in conflitto di interessi?
Le situazioni prospettabili cambiano a seconda che il DPO sia interno o esterno.
- Con riferimento al DPO INTERNO, spetterà al datore di lavoro adottare la soluzione organizzativa affinché la situazione di incompatibilità non sorga o venga meno.
In tale caso la responsabilità è esclusivamente del Titolare il quale, non essendo riuscito ad assicurare l’assenza di conflitto di interessi, resta soggetto a una sanzione (fino a € 10.000.000 o al 2% del fatturato annuo mondiale, art. 83, co. 4, lett. a) GDPR).
- Quanto al DPO ESTERNO, anzitutto è consigliabile che il contratto di servizi sia sufficientemente preciso e dettagliato sul punto, prevedendo ad esempio:
- le misure adottate per evitare che il DPO si trovi in conflitto,
- una dichiarazione del DPO circa l’assenza di una situazione di incompatibilità – anche riferibile a scarsità di tempo o risorse da dedicare (magari a causa dell’assunzione di incarichi numerosi o particolarmente gravosi per diversi altri titolari), accompagnata dalle relative garanzie e manleve;
- l’attuazione e documentazione di opportune verifiche da parte del designante.
In ogni caso, se il DPO omette di dichiarare l’esistenza di una situazione di conflitto, magari difficilmente conoscibile da parte del designante, va incontro a RESPONSABILITÀ sulla base dei principi generali che disciplinano i rapporti contrattuali, e precisamente:
- l’art. 1375 c.c. (“Il contratto deve essere eseguito secondo buona fede”) e più in generale l’art. 1175 c.c. (correttezza del comportamento delle parti in tutti i rapporti obbligatori);
- l’art. 1218 c.c. (“Il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno“).
In sostanza la buona fede – che si traduce in una serie di doveri di collaborazione, tra cui l'obbligo di informare circa ogni questione che sia rilevante per la controparte – impone al DPO di comunicare l’eventuale incompatibilità al designante, pena la sua responsabilità nei confronti di quest’ultimo:
la sussistenza del conflitto d’interessi “occulto” può integrare un inadempimento del DPO al contratto che lo lega al designante, con il conseguente riconoscimento del risarcimento del danno procurato al designante.
In questo caso il designante si libera da responsabilità?
No: coerentemente con la previsione dell’art. 38 comma 6 GDPR, che attribuisce al designante l’onere di “assicurarsi” che non vi sia conflitto di interessi, le dichiarazioni del DPO sul punto non sono sufficienti, essendo onere del designante attivarsi - per quanto possibile - per verificarle.
Art. 1227 c.c.: “se il fatto colposo del creditore ha concorso a cagionare il danno, il risarcimento è diminuito secondo la gravità della colpa e l'entità delle conseguenze che ne sono derivate. Il risarcimento non è dovuto per i danni che il creditore avrebbe potuto evitare usando l'ordinaria diligenza”
Quindi: se il designante non attua idonee verifiche sulla effettiva assenza di conflitto, la sua responsabilità può concorrere con quella del DPO reticente: in pratica, non potrà vedersi riconosciuto il danno causato dalla reticenza del DPO oppure otterrà un risarcimento ridotto rispetto al pregiudizio subito.
- Quanto al caso di DPO esterno di un ente pubblico, il tema si pone in modo ancora più rilevante: l’interesse dell’ente a selezionare soggetti dotati di specifici requisiti di affidabilità risponde a un interesse generale. Poiché l’assenza del conflitto di interessi rappresenta un requisito necessario per lo svolgimento dell’incarico, il concorrente sarà presumibilmente chiamato a dimostrare tale requisito o quantomeno a fornire una dichiarazione sostitutiva di notorietà attestante l’assenza di conflitto.
In base ai principi generali, l’eventuale falsa dichiarazione da parte del DPO rileverà ragionevolmente come causa di annullamento del provvedimento di assegnazione dell’incarico nonché come circostanza di per sé idonea e sufficiente a ledere irrimediabilmente il rapporto fiduciario tra concorrente e appaltante, con la conseguente responsabilità (anche risarcitoria) del candidato DPO nei confronti dell’ente.
