Data Protection Officer, ruolo a responsabilità doppie

Obblighi raddoppiati per il Dpo. Ai doveri derivanti dallo status di “responsabile della protezione dei dati” si abbinano i doveri derivanti dallo status di dipendente o di consulente esterno o di ente fornitore di servizi. Il Data Protection Officer, infatti, ha sempre un doppio ruolo e i due canali sono comunicanti: con la conseguenza che le mancanze e le negligenze in un campo hanno rilevanza anche nell’altro.

Il doppio livello di responsabilità deve essere governato e gestito con una attenzione alla stesura delle clausole che disciplino il rapporto con il titolare/responsabile del trattamento.

Inoltre, il Dpo deve assicurare affidabilità e onorabilità e, infine, non è necessario che sia un tuttologo.

In questa cornice, una corte tedesca, occupandosi del licenziamento di un Dpo, ha stabilito il seguente principio: la posizione di responsabile interno della protezione dei dati non può essere completamente separata dal rapporto di lavoro sottostante.

Pertanto, una grave violazione delle funzioni generali del contratto di lavoro può significare che non è più possibile esercitare in modo affidabile la funzione di responsabile della protezione dei dati (LAG Mecklenburg-Western Pomerania, sentenza del 25.02.2020, resa nel caso 5 Sa 108/19).

Per la cronaca, nel caso specifico, il Dpo è stato mandato assolto da ogni incolpazione e non sono stati riscontrati addebiti: si è adoperato con le giuste priorità, tenendo conto del numero di società per cui operava e della complessità dei trattamenti eseguiti dalle stesse.

Tornando al principio applicato dalla corte tedesca, lo stesso può essere riformulato a partire dai doveri come Dpo, che, se inadempiuti, possono dare luogo alla risoluzione del rapporto contrattuale sottostante.

In ogni caso, considerata la faccenda sia in un verso sia nel suo reciproco, la sintesi è univoca: il contratto con il Dpo non è un dettaglio o un foglietto pieno di clausole di stile.

Questo, non solo quando si tratta di sottoscrivere un contratto ex novo con un soggetto esterno, ma anche quando bisogna disciplinare i rapporti con il dipendente assurto alla carica di Dpo.

Lo si ripete, anche quando un rapporto (di lavoro subordinato) preesiste, è necessario (per la chiarezza del rapporto di Dpo) aggiungere un patto con diritti e obblighi, collegati alla funzione di responsabilità della protezione dei dati.

Queste riflessioni derivano, come si è detto, dalla sentenza del giudice del lavoro tedesco, che esprime ulteriori significative riflessioni. Schediamo queste preziose argomentazioni.

Dpo: Ruolo su misura – Le competenze, da richiedere necessariamente al Dpo, dipendono in particolare dalle dimensioni dell’unità organizzativa da controllare, dalla portata dei processi di elaborazione dei dati coinvolti, dai processi IT utilizzati, dal tipo di dati generati, ecc.

Non necessaria la tuttologia – Se il responsabile della protezione dei dati ha una sola particolare specializzazione (ad esempio informatica o tecnica), è sufficiente che possa fare affidamento anche su uno staff multidisciplinare.

Più di tutto conta l’affidabilità – Il responsabile della protezione dei dati deve offrire anche la garanzia che svolgerà i suoi compiti con lealtà e probità.

Violazioni del rapporto di lavoro – L’affidabilità si può misurare anche dal rispetto degli obblighi assunti come dipendente del titolare del trattamento. Una grave violazione degli obblighi generali di contratto di lavoro può anche compromettere l’affidabilità. La sentenza tedesca richiama il compimento di illeciti, che compromettono il rapporto fiduciario, come ad esempio la commissione di furti, appropriazioni indebite, offese alla reputazione, aggressioni contro altri dipendenti, ecc.

In sostanza, la posizione di responsabile interno della protezione dei dati non può essere completamente separata dal rapporto di lavoro sottostante. Una grave violazione degli obblighi contrattuali può significare che non è più possibile esercitare in modo affidabile la funzione di responsabile della protezione dei dati.

Effetti Indiretti – La sentenza della Corte tedesca si riferisce esplicitamente ai Dpo interni. I principi espressi sono, tuttavia, riferibili, in via di interpretazione a tutti i Dpo.

Il requisito fiduciario è, in effetti, esigibile da qualunque Dpo e gli inadempimenti del contratto di consulenza o di servizi, così come il venir meno di requisiti di onorabilità valgono anche in ambiti diversi dal rapporto di lavoro subordinato.

Tutto ciò deve portare a un dettaglio nei contratti di conferimento dell’incarico dei requisiti e delle prestazioni, con una specificazione analitica di clausole risolutive. La contrattualistica tra titolari/responsabili del trattamento è, però, a dire il vero, molto spesso sottovalutata.

E questo non è assolutamente un bene, perché, in una prospettiva neppure tanto lontana, sono prevedibili controversie tra titolari/responsabili del trattamento e Dpo. E un contenzioso è tanto più spinoso quanto più lacunose e fumose sono le norme contrattuali a monte da interpretare e applicare.

Fonte: www.federprivacy.org