Data Protection Officer: questioni di nomina, competenze, e incompatibilità

I dati personali costituiscono una risorsa cardine per le organizzazioni e la loro protezione è centrale sia a fini privacy che di tutela di un asset primario. I processi di trattamento, che includono anche la security, richiedono un'attenta formalizzazione dei ruoli e delle responsabilità fra cui quella, centrale, del Responsabile della Protezione dei Dati (Data Protection Officer), introdotta dal GDPR.

Sulla base di alcune pronunce giurisprudenziali, afferenti oltre all’ambito privacy anche quello della salute e sicurezza sul lavoro, possono essere individuati alcuni utili parametri per approfondire il ruolo e responsabilità del Data Protection Officer con riguardo al profilo delle competenze e a quello delle incompatibilità/conflitto di interesse, e ipotizzare le possibili azioni di mitigazione dei rischi di non compliance alle disposizioni europee e nazionali in materia di privacy.

Sotto il profilo della nomina, va in primo luogo citata l’ordinanza Tribunale di Udine (2 agosto 2024, n. 504) riguardante il caso di una dipendente che si era rifiutata di firmare la nomina come elemento autorizzato al trattamento dei dati personali. La parte datoriale, ritenendo ciò non compatibile con il suo utilizzo, aveva sospeso l’interessata dal servizio e dalla retribuzione.

Chiarimenti del Tribunale

Il Giudice del lavoro, adito in via cautelare dall’interessata, ha ritenuto non censurabile il comportamento della parte datoriale atteso che “La mancata accettazione da parte del lavoratore dell’incarico conferitogli porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante”.

Il Tribunale ha chiarito che tale nomina è un obbligo unilaterale imposto dal datore di lavoro, laddove le mansioni del dipendente prevedano il trattamento di dati personali e quindi non opponibile dal dipendente. Quindi: la mansione non può essere oggetto di rifiuto.

Va ricordato che l’art. 2-quaterdecies del Codice Privacy prevede che “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta” (anche se il GDPR non fornisce, al riguardo, alcuna indicazione sulle formalità).

Ma come si può prospettare la questione per un dipendente che venisse individuato per il ruolo di Responsabile della Protezione dei Dati se questi ritenesse di opporsi alla designazione?

Le qualità professionali di cui essere in possesso

Secondo il GDPR, il Responsabile della Protezione dei Dati deve essere in possesso di adeguate qualità professionali – con particolare riguardo a norme e prassi in materia di privacy – e capace di assolvere i compiti previsti dall’art. 39 del Regolamento UE, che sono informativi, di consulenza, supervisione, di vaglio delle valutazioni d’impatto e di intermediario nei rapporti con l’Autorità Garante. Alcune indicazioni sono fornite dal Garante privacy nel Documento di indirizzo per il RPD in ambito pubblico, in particolare nel paragrafo “5. Qualità professionali e possesso di titoli”. In argomento giova ricordare un provvedimento del 2021 dell’Autorità Garante lussemburghese (che per la verità non si è tradotto, né poteva, in un “benchmark tassativo”) secondo cui presso realtà complesse il Data Protection Officer deve essere in possesso di almeno 3 anni di esperienza professionale.

La persona individuata non deve, quindi, essere un esperto fiduciario del titolare, bensì un soggetto competente e in possesso di capacità relazionali ma che si pone in posizione terza.

Per proseguire la lettura di questo interessante articolo di Pasquale Mancino, Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione, questo è il link