PERCORSI NORMATIVI

Dpo obbligatorio per i soggetti pubblici, ma non per tutti: il problema

Il Regolamento europeo prevede la designazione di un Responsabile protezione dati per autorità e organismi pubblici. Di cui però non fornisce una definizione. Ecco come sciogliere il nodo interpretativo ricorrendo a paradigmi non giuridici, ma funzionali

17 Gen 2020
Noemi Miniscalco

Assegnista di ricerca e docente nell’Università degli studi di Modena e Reggio Emilia. Componente dell’Osservatorio sulla privacy della Fondazione Marco Biagi

Cloud storage security concept. Safety data management specialist think about security of cloud computing data storage represented by cloud icon with padlock.

La nomina di un Data protection officer è obbligatoria per le Autorità pubbliche e organismi pubblici. Ma l’art. 37, par. 1, lett. a) del GDPR non specifica però ulteriormente le categorie. Vediamo quali sono quindi i soggetti pubblici che devono obbligatoriamente designare il DPO.

L’obbligo di nomina del DPO nel GDPR

Il Regolamento UE 2016/679 prevede l’obbligo di designazione del Data Protection Officer in tre specifiche ipotesi:

  1. ogniqualvolta «il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (ma si veda l’art. 28 del d.lgs. 51 del 2018);
  2. nonché, per i soggetti privati, nelle ipotesi in cui «le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala»;
  3. oppure «nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10».

Focalizzando l’attenzione sulla prima ipotesi, occorre muovere da un dato di fatto: nessuna disposizione del GDPR fornisce una definizione di “Autorità pubblica” o “organismo pubblico” e, conseguentemente, in alcuni casi, permangono dubbi sulla riconduzione di alcuni soggetti – pubblici o privati – in tali categorie, con conseguente incertezza sull’obbligatorietà o meno per essi della designazione del DPO, ai sensi della lett. a) dell’art. 37 GDPR.

Linee guida sui Responsabili Protezione dei Dati

Secondo il Gruppo di lavoro Articolo 29, per la delimitazione delle categorie “Autorità pubblica” e “organismo pubblico” occorre far riferimento al diritto nazionale, con la precisazione che, se certamente sono da considerarsi «autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali […] a seconda del diritto nazionale applicabile, la nozione (potrebbe) ricomprende(re) anche tutta una serie di altri organismi di diritto pubblico» (WP243 rev. 01, p. 6, nota n. 12).

Il WP29 richiama, inoltre, seppure a titolo esemplificativo, i concetti di “ente pubblico” e “organismo di diritto pubblico” di cui all’art. 2, paragrafi 1 e 2, della direttiva 2003/98/CE, relativa al riutilizzo dell’informazione del settore pubblico.

Ai sensi di tale disciplina, per “ente pubblico” devono intendersi «le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico».

Invece, sono “organismi di diritto pubblico” tutti quegli enti che siano stati:

  1. istituiti per soddisfare specificatamente bisogni d’interesse generale aventi carattere non industriale o commerciale, quanto meno in via prevalente;
  2. dotati di personalità giuridica;
  3. che presentino, inoltre, almeno uno dei seguenti tratti sintomatici: il finanziamento dell’attività, la soggezione al controllo di gestione, oppure la designazione di più della metà dei componenti degli organi di amministrazione, di direzione o di vigilanza da parte dello Stato, di enti pubblici territoriali o di altri organismi di diritto pubblico.

Il nodo “riutilizzo delle informazioni”

Il rinvio alle definizioni di “ente pubblico” e “organismo di diritto pubblico” contenute nella direttiva 2003/98/CE per l’interpretazione delle espressioni “Autorità pubblica” e “organismo pubblico” non è però convincente.

Anzitutto, poiché tra la direttiva sul riutilizzo delle informazioni ed il GDPR c’è una differenza terminologica che non può passare inosservata e che, sotto il profilo letterale, già informa di una sottostante diversità sostanziale.

Inoltre, perché manca nel GDPR un rinvio generale alla direttiva 2003/98/CE e alle definizioni in essa contenute; a conferma di ciò, si consideri che nell’unica norma ove un richiamo ad essa è presente, ossia il Considerando n. 154, il legislatore ne ha delimitato l’ambito di operatività a quel solo contesto considerato.

Se così è, allora, le definizioni di “ente pubblico” e “organismo di diritto pubblico” potrebbero essere applicate anche in materia di protezione dei dati personali solo in forza di un’interpretazione conforme o analogica: entrambe, certamente, da escludersi.

La prima in quanto non vi è una gerarchia tra le due normative, non potendosi ritenere che la direttiva sul riutilizzo dei dati sia preminente rispetto al GDPR, di modo che viene a mancare il presupposto che legittimerebbe una interpretazione conforme di questo rispetto a quella.

La seconda, invece, poiché la ratio delle due discipline è differente, e pertanto non possono applicarsi analogicamente le norme dell’una alle fattispecie non regolate dall’altra. Infatti, mentre la direttiva 2003/98/CE ha come obiettivo lo sfruttamento economico dei dati in possesso delle amministrazioni statali, attraverso il riutilizzo di essi, il GDPR, pur incentivando la libera circolazione delle informazioni, persegue il primario scopo della protezione dei dati delle persone fisiche: nulla, dunque, che giustifichi un’estensione in via interpretativa delle stesse norme.

Pertanto, escluso che le espressioni “Autorità pubbliche” e “organismi pubblici” possano essere interpretate alla luce delle definizioni contenute nella direttiva sul riutilizzo dei dati nel settore pubblico, come fare per individuare i soggetti pubblici gravati dall’obbligo di nomina del DPO?

Per rispondere al quesito che ci siamo posti riteniamo che si debba:

  1. ricercare una norma nell’ordinamento interno che definisca e individui quali soggetti debbano essere ricondotti nelle categorie;
  2. oppure, in assenza di una disposizione legislativa specifica, individuare un parametro che permetta di effettuare comunque una selezione.

Soggetti pubblici: cosa dice il diritto nazionale

La ricerca di una norma definitoria dei soggetti che intendiamo individuare, risulta, però, complessa. Infatti, considerato che il Codice privacy non contiene alcuna disposizione relativa alle Autorità pubbliche o organismi pubblici, non resta che ricercare al di fuori della disciplina in materia di protezione dei dati personali una definizione più generale che possa trovare applicazione anche in tale settore. Sennonché, nel diritto italiano, la nozione di soggetti pubblici non è unitaria e formale, ma, tutto all’opposto, frammentaria e sostanziale, tant’è che l’ambito soggettivo di applicazione di ogni disciplina di settore va perimetrato sulla base non tanto della natura giuridica del soggetto considerato, ma della funzione che esso persegue.

Pertanto, in assenza di una disposizione legislativa specifica, non resta che procedere in concreto, con approccio dinamico e funzionale, cercando di individuare un parametro che permetta di effettuare comunque una selezione.

Le faq del Garante sul DPO in ambito pubblico

Il Garante per la protezione dei dati personali, nelle Faq sul Responsabile della Protezione dei dati, ha chiarito che «in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che ricadevano nell’ambito di applicazione degli artt. 18 -22 del Codice, che stabilivano le regole generali per i trattamenti effettuati dai soggetti pubblici», precisando che «nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD».

Pertanto, secondo il Garante, sono “Autorità pubbliche”: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti.

Resta però ancora non chiarito quando un soggetto possa dirsi “organismo pubblico”. Come si è visto, infatti, l’Autorità di controllo nazionale, da un lato, richiama gli articoli del Codice, oggi abrogati, e in particolare il riferimento ai “soggetti pubblici” in essi contenuto che, secondo la dottrina maggioritaria andava letto in chiave estensiva, ossia come riferito anche a tutti quei soggetti privati ai quali era affidato l’esercizio di potestà pubbliche; ma, dall’altro lato, suggerisce la nomina del DPO per gli enti che esercitano pubbliche funzioni, con formulazione che porta ad interrogarsi se essi ricadano o meno nel campo di applicazione dell’art. 37, par. 1, lett. a) GDPR, e quindi se sia per loro obbligatorio designare il DPO.

Ebbene, riteniamo che non sia corretta l’interpretazione della norma, nel senso della esclusione dei soggetti che esercitano pubbliche funzioni dall’obbligo di nomina del DPO.

Interpretazioni rischiose: ecco perché

Infatti, se il legislatore avesse voluto restringere il campo di applicazione dell’art. 37, par. 1, lett. a) GDPR avrebbe formulato diversamente la disposizione, prevedendo l’obbligo in capo alle sole Autorità pubbliche, con omissione dell’indicazione degli organismi pubblici.

Ma soprattutto, va rilevato come i soggetti privati che esercitano pubbliche funzioni assumono, rispetto agli interessati dei trattamenti, una posizione analoga alle Autorità pubbliche. Di modo che una lettura restrittiva finirebbe per diminuire l’effetto protettivo che la figura del DPO porta con sé, con ripercussioni sui diritti e le libertà degli interessati, certamente in contrasto con la ratio del GDPR.

DPO e soggetti pubblici, la ratio dell’art. 37 GDPR

Come chiarisce il WP29, nelle Linee guida sui Responsabili della Protezione dei dati personali, gli ambiti nei quali «è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un RDP» sono: i trasporti pubblici, le forniture idriche ed elettriche, le infrastrutture stradali, le emittenti radiotelevisive pubbliche, gli istituti per l’edilizia pubblica o gli organismi di disciplina professionale.

In tutte queste ipotesi, in considerazione delle funzioni svolte e delle potestà esercitate, l’ente, quand’anche vestito di forma privatistica, assume una posizione di supremazia e, conseguentemente, l’interessato si vede riconosciuto «un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali».

Pertanto, la tutela offerta dalla nomina di un Responsabile per la protezione dei dati personali è necessaria laddove vi sia:

  1. una (quanto meno possibile) limitazione dei diritti degli interessati a causa della disparità di posizione nei confronti del titolare;
  2. l’impossibilità degli interessati di autodeterminarsi al trattamento e di controllarne l’intero processo, in primis in termini di finalità, modalità e durata.

In conclusione, ogniqualvolta ad un soggetto, a prescindere dalla sua forma giuridica, risultino essere attribuite funzioni e compiti per lo svolgimento dei quali assume una posizione di supremazia – e, dal canto suo, l’interessato può vedere limitati i suoi diritti e libertà – esso dovrà essere qualificato come “organismo pubblico” e, conseguentemente, sarà gravato dall’obbligo di designazione del DPO.

La raccomandazione del Consiglio d’Europa

La Raccomandazione n. R (91) 10 del Comitato dei Ministri del Consiglio d’Europa, relativa alla comunicazione a terze persone di dati a carattere personale detenuti da organismi pubblici, può fornire un utile aiuto all’interprete, laddove reca una definizione di “organismo pubblico” (cfr. paragrafo 1.3 dell’Allegato), che riconduce alla categoria «qualsiasi amministrazione, istituzione, ente o altra entità che eserciti funzioni di servizio pubblico o di interesse pubblico tramite prerogative proprie dei pubblici poteri», con la precisazione che il diritto interno può soltanto «allargare la portata dell’espressione».

L’identità dei sintagmi utilizzati ed ancor più l’uniformità tra la ratio sottesa al GDPR e quella della Raccomandazione, essendo entrambe discipline dirette alla protezione dei dati personali, inducono a ritenere che sia questa la definizione cui gli interpreti potrebbero fare riferimento per delimitare l’ambito di applicazione dell’art. 37, par. 1, lett. a), GDPR.

Concetto di soggetto pubblico: approccio dinamico

Le espressioni “Autorità pubbliche” e “organismi pubblici” vanno indagate in ottica dinamica e sostanziale, guardando alla natura degli interessi perseguiti dall’ente e non, invece, alla sua natura giuridica.

Pertanto, il novero dei soggetti obbligati – e quindi, per i quali non è solo suggerito, ma risulta doveroso l’obbligo di designazione del DPO – deve essere, a nostro avviso, ricostruito in chiave estensiva, come ricomprensivo di tutti quegli enti che esercitano pubbliche funzioni e, conseguentemente, ricoprono una medesima posizione di supremazia nei confronti degli interessati.

Riferimenti bibliografici

(2019) S. Scagliarini (a cura di), Il “nuovo” codice in materia di protezione dei dati personali. La normativa italiana dopo il d.lgs. 101/2018, Giappichelli, Torino, 2019.

(2019) L. Ferola, La “nuova” figura del Responsabile della protezione dei dati personali e le sue caratteristiche, in R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), Giuffré, Milano, 2019, pp. 347 ss.

(2018) F. Pizzetti, Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, Torino, 2018.

(2018) G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Bologna, 2018.

(2018) G. B. Gallus, M. Pintus (a cura di), Il Data Protection Officer, in AA.VV., Il processo di adeguamento al GDPR, Giuffrè, Milano, 2018, pp. 175 ss.

(2018) G. M. Riccio, G. Scorza, E. Belisario (a cura di), GDPR e normativa privacy. Commentario, Wolters Kluwer, Milano, 2018.

(2017) L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Editoriale scientifica, Napoli, 2017.

(2016) F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo Regolamento europeo, Giappichelli, Torino, 2016.

(2008) B. Ponti, Titolarità e riutilizzo dei dati pubblici, in Id. (a cura di), Il regime dei dati pubblici: esperienze europee e ordinamento nazionale, Maggioli, Rimini, 2008.

(2003) S. T. Masucci, Tutela della riservatezza e obblighi di rispetto dei soggetti pubblici, in R. Pardolesi (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Giuffré, Milano, 2003, vol. II, pp. 559 ss.

(2001) R. Acciai, Privacy e banche dati pubbliche. La tutela dei dati personali nelle pubbliche amministrazioni, Cedam, Padova, 2001.

(1997) L. Grisostomi Travaglini, Commento all’art. 27, in E. Giannantonio, M. G. Losano, V. Zeno- Zencovich (a cura di), La tutela dei dati personali. Commentario alla l. 675/96, Cedam, Padova, 1997.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2