Il Tar Puglia, sezione Lecce, con sentenza  n.1468/2019 pubblicata il 13 settembre 2019, annulla l’aggiudicazione di un incarico biennale di Dpo a una società, che ha indicato, per lo svolgimento dell’attività, un consulente DPO esterno.

DPO esterno

Nell’esprimersi su di un ricorso riguardante una gara indetta da un Comune per il conferimento di un incarico biennale per l’attuazione del Regolamento U.E. n. 679 del 2016 sulla protezione dei dati e per l’individuazione del RPD dell’ente, i giudici della Sezione Terza di Lecce hanno affermato che la funzione di responsabile della protezione dei dati può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’ente. Ma è necessario che il soggetto (persona fisica) operante come RPD sia “appartenente” alla persona giuridica.

Il contratto stipulato tra le parti

“non risulta evidenziato il legame fra la società S.r.l. e il sig. xx. Questi non è un socio della Società, ma pare non esserne neanche dipendente.

Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune per eventuali inadempimenti e/o danni provocati dal detto soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.

Il TAR, riscontrata una situazione di non chiarezza della reale natura del rapporto giuridico tra la società che aveva partecipato alla gara e il soggetto persona fisica designato a operare quale RPD – DPO. Ha ritenuto fondamentali, nel proprio giudizio, le Linee guida sui responsabili della protezione dati del 13 dicembre 2016, le quali ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati (R.P.D.) nonché, per quanto qui di interesse, circa la sua (necessaria) posizione all’interno di una persona giuridica, qualora la funzione di R.P.D. sia svolta, come nel caso de quo, da una persona giuridica.

Si legge nella sentenza:

il Tribunale rileva che la scrittura privata fra S.r.l. ed il Dr.  parla esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali, in cui il soggetto incaricato, ossia il Dr. M., può godere, ai sensi degli articoli 2222 e seguenti del codice civile, di una propria autonomia nell’esplicazione dell’incarico, atteso che la lettera di conferimento non esclude tale possibilità con vincolo contrattuale, così ponendo seri dubbi circa la sussistenza del sopra menzionato requisito dell’appartenenza.

Infine, il TAR censura ogni eventuale traduzione delle citate Linee guida che faccia riferimento ad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di RPD. Evidenziando, invece, come stabilito dalla versione italiana ufficiale, che le Linee guida fanno riferimento ad ogni membro interno all’organizzazione incaricata della predetta funzione che la svolge.

(Fonte ANCI.it e https://www.giustizia-amministrativa.it/giusrisprudenza)

 

Potrebbe interessarti:

La figura del Responsabile della protezione dei dati (RPD/DPO)
Il Responsabile della Protezione dei Dati (DPO), scopriamo chi è.