Il GDPR ha introdotto la figura del Responsabile della protezione dei dati o Data Protection Officer (DPO), il quale ha il compito di garantire la conformità del trattamento dei dati personali alle normative sulla privacy. Tra le questioni maggiormente discusse, soprattutto nell’ambito della Pubblica Amministrazione, vi è quella riguardante la durata dell’incarico di DPO. Individuare la giusta durata dell’incarico di un DPO e le sue modalità di rinnovo potrebbe sembrare a prima vista una discussione prettamente giuslavoristica; tuttavia, analizzando il GDPR emerge come l’indipendenza richiesta a un DPO si valuti anche attraverso le modalità di assegnazione dell’incarico.
Rinnovo incarico DPO: l’indipendenza del ruolo
Per svolgere le proprie funzioni, un DPO ha la necessità di essere indipendente. Tale indipendenza è richiamata innanzitutto dal Cons. 97 del GDPR il quale afferma che i Responsabili della Protezione dei Dati “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Specifica dell’art 38 del GDPR
Ancor più chiaro è l’art. 38 del GDPR, che al par. 3 specifica: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
Sempre l’art. 38 par. 6 sottolinea: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Rinnovo incarico DPO: quanto dura
Sebbene dunque il GDPR non specifichi un termine preciso relativo alla durata dell’incarico del DPO, dalle norme richiamate si ricava non solo il fondamentale elemento dell’indipendenza del DPO, ma un obbligo a carico del Titolare e del Responsabile del trattamento di tutela di questa indipendenza. Di conseguenza, un DPO non solo potrà essere rimosso dall’incarico a causa dello svolgimento delle sue funzioni, ma dovrà trovarsi una posizione lavorativa tale da poter garantire la sua indipendenza senza il timore di ritorsioni. Anche la durata del rapporto di lavoro dovrà rispecchiare tali principi. Diventa, quindi, di fondamentale importanza stabilire quando l’incarico di DPO abbia un congruo termine di durata.
In assenza di norme specifiche è possibile ricorrere ad alcune indicazioni del Garante che, nel documento “Provvedimento del 29 aprile 2021 – Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, ritiene che in linea di massima “un periodo congruo per la durata dell’incarico possa essere stimato intorno ai tre anni, al fine di dare al RPD il tempo necessario per poter conoscere adeguatamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati”.
Durata per privati
Resta ferma, e non potrebbe essere altrimenti, la libertà negoziale nel caso di privati, sia che riguardi un rapporto di lavoro dipendente, sia nel caso di libero professionista (sempre a patto che venga tutelata l’indipendenza del DPO).
Durata per enti pubblici
Discorso diverso invece quando l’incarico di DPO è assegnato da un ente pubblico a un soggetto esterno. Sul punto è intervenuta la Delibera numero 421 del 13 maggio 2020 dell’Autorità Nazionale Anticorruzione con la “Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO)” che ha stabilito la seguente massima: “L’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione. I particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”. Tenendo conto della delibera dell’ANAC, per contrastare la pratica emersa in alcuni enti pubblici che legavano la durata dell’incarico del DPO a quella dei vertici, il Garante ha innanzitutto chiarito che “La durata del contratto di servizi deve tendenzialmente essere tale da consentire al RPD di poter impostare, in un periodo non breve, le attività necessarie per rendere conformi al Regolamento i trattamenti effettuati dal titolare che lo ha incaricato. Spetta ovviamente a ciascun ente pubblico valutare la congruità della durata rispetto alle caratteristiche dell’amministrazione (dimensioni, risorse a disposizione, ecc.) e a quelle dei trattamenti svolti (complessità, qualità e quantità dei dati personali trattati, ecc.)”.
Linea di massima
Tuttavia, lo stesso Garante ritiene in linea di massima che la durata dell’incarico possa essere stimata intorno ai tre anni. Tale tempo è considerato necessario per permettere al DPO di conoscere l’ente e di adottare le misure necessarie. Il Garante, inoltre, specifica che “nello stabilire la durata del contratto con il RPD esterno, l’ente pubblico, pur all’interno di una sfera di discrezionalità riguardo alle scelte organizzative, non può affidarsi a criteri che possano essere sintomatiche di un rapporto non improntato all’autonomia di azione del RPD (come, ad esempio, lo stretto collegamento dell’incarico di RPD con il mandato di un organo direttivo dell’ente medesimo)”.
Infine, richiama le amministrazioni “a prestare attenzione a quanto sostenuto dall’Autorità nazionale anticorruzione, a fini di rispetto della disciplina in materia di contratti pubblici, sulla necessità che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie debba avvenire nel rispetto del principio di rotazione”.
Conclusioni
Considerando sia l’intervento dell’ANAC sia quello del Garante, è possibile sintetizzare che per un ente pubblico l’incarico esterno di DPO può essere previsto per un periodo di tempo di circa tre anni, non essere legato alla durata dei vertici dell’ente e non può essere rinnovato nel rispetto del principio di rotazione.
Gli interventi dell’ANAC e del Garante fanno riferimento solo all’ipotesi dell’affidamento esterno e non riguardano l’ipotesi in cui il DPO sia stato individuato all’interno dell’organico dell’ente.
