il DPO deve appartenere alla società a cui è affidato il servizio

Il TAR Puglia, sezione di Lecce, esamina il ricorso di un concorrente escluso da una selezione per l’affidamento dell’incarico di DPO che rilevava l’illegittima attribuzione del servizio a una società che, a sua volta, avrebbe indicato un professionista esterno.

Il tribunale, accogliendo il ricorso afferma che le “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016, ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati (R.P.D.) nonché, per quanto qui di interesse, circa la sua (necessaria) posizione all’interno di una persona giuridica, qualora la funzione di R.P.D. sia svolta, come nel caso de quo, da una persona giuridica. Viene affermato infatti che, qualora la funzione di R.P.D. sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, così, implicitamente ma inequivocabilmente, richiedendo che il soggetto (persona fisica) operante come R.P.D. debba essere “appartenente” alla persona giuridica.

Peraltro, nel caso di specie, il Tribunale rileva che la scrittura privata fra la società e il professionista parla esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali, in cui il soggetto incaricato  può godere, ai sensi degli articoli 2222 e seguenti del codice civile, di una propria autonomia nell’esplicazione dell’incarico, atteso che la lettera di conferimento non esclude tale possibilità con vincolo contrattuale, così ponendo seri dubbi circa la sussistenza del sopra menzionato requisito dell’appartenenza.

testo del provvedimento

149 Visite totali, 1 visite odierne

0Shares