Dpo e difensore? Non si può

IL GARANTE HA SANZIONATO IL COMUNE CHE AVEVA AFFIDATO UNA CAUSA ALL’INCARICATO GDPR
Antonio Ciccia Messina
O difensore o Dpo (responsabile della protezione dei dati): un’impresa o un’amministrazione, titolari del trattamento, non possono affidare una causa all’avvocato già incaricato della funzione prevista dal Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679) anche a beneficio degli interessati (clienti, utenti, ecc.), potenziali avversari del titolare del trattamento. È quanto ha deciso il Garante della privacy, che, con l’ingiunzione n. 214 del 9 giugno 2022, ha sanzionato un Comune colpevole di avere delegato per la difesa in alcuni giudizi lo stesso professionista legale già individuato come responsabile della protezione dei dati (articolo 37 del Gdpr). La sanzione è stata irrogata al Comune (titolare del trattamento) per violazione del divieto di conflitto di interessi in capo al Dpo: il Garante ha accertato che l’attività di difensore ha compromesso l’autonomia e indipendenza da mantenere nello svolgimento della funzione di Dpo. I professionisti devono però stare attenti a non sottovalutare la pronuncia in commento. L’ingiunzione del Garante apre la strada a rivalse contrattuali nei confronti del professionista, visto che quest’ultimo, con la sua consulenza, deve sorvegliare sull’osservanza del Gdpr da parte del titolare. Senza contare che eventi di questo tipo possono anche essere oggetto di contestazioni deontologiche da parte degli ordini e collegi di appartenenza del professionista. Dunque, a doversi, per primo, porre il problema del conflitto di interessi è proprio il professionista: se è anche il Dpo, deve rifiutare di svolgere incarichi che lo mettono in conflitto di interesse o per lo meno sciogliere il nodo, se possibile, cessando di fare il Dpo.

La decisione del Garante. Una persona riceve da un Comune tre sanzioni per abbandoni di rifiuti accertati con sistemi di videosorveglianza; la stessa reagisce impugnando i verbali, contestando la violazione da parte del comune delle norme sulla privacy sui cartelli informativi nel caso di riprese con telecamere. Le cause non vanno a buon fine perché la persona in questione ha sbagliato a proporre i ricorsi al giudice di pace, privo della competenza in materia.

A questo punto l’interessato si rivolge al Garante della privacy, davanti al quale non si discute del merito della violazione ambientale. Davanti al Garante si discute di tre aspetti: la regolarità “privacy” dei cartelli sulla videosorveglianza; la durata di conservazione delle immagini; l’incompatibilità del Dpo del Comune che, quale avvocato, aveva difeso l’ente nei giudizi svolti davanti al giudice di pace.

Ed è proprio quest’ultimo profilo che mette in evidenza alcuni possibili trabocchetti, in cui non devono cadere né i professionisti né gli enti (pubblici o privati) che conferiscono loro l’incarico di responsabile della protezione dei dati.

Per la cronaca il Comune coinvolto nella vicenda riferita ha avuto 26 mila euro di sanzione per tutte le violazioni contestate (non è possibile scorporare la quota relativa al conflitto di interessi del Dpo).

Il Gdpr. Il Garante ha considerato che il Comune ha violato l’articolo 38, paragrafo 6, del Gdpr. L’articolo parla del Dpo, cioè di quella funzione ibrida che se deve aiutare i titolari del trattamento a rispettare il Gdpr, allo stesso tempo, deve sorvegliare i titolari sempre sul rispetto del Gdpr, a beneficio delle persone interessate dal trattamento. Si tratta di una posizione non facile da tenere, in quando il Dpo deve sorvegliare e vigilare (in autonomia e indipendenza) quello stesso ente cui deve anche fornire informazioni e consulenza.

In questo quadro l’articolo 38 del Gdpr, dapprima, ammette che il Dpo possa svolgere per il titolare del trattamento (impresa o P.a.) altri compiti e funzioni. Subito dopo, però, lo stesso articolo 38 mette le mani avanti e mette a carico del titolare del trattamento l’obbligo di assicurarsi che i compiti e le funzioni ulteriori non diano adito a un conflitto di interessi.

Nell’ingiunzione in esame il Garante, riscontrando un’ipotesi di conflitto, ha scritto che il Dpo del Comune ha tenuto i piedi in due scarpe: vestendo i panni di avvocato difensore, condivideva con il Comune l’interesse a ottenere il rigetto dei ricorsi; lo stesso avvocato, come Dpo, doveva però contemporaneamente sorvegliare sul fatto che il comune non commettesse illegittimità nei trattamenti di videosorveglianza. Quell’avvocato-Dpo, quindi, se avesse rilevato violazioni della normativa in materia di protezione dei dati, si sarebbe trovato di fronte a un dilemma: far bene il Dpo e segnalare le violazioni al Comune e, così comportandosi, fare male l’avvocato, pregiudicando la posizione processuale dell’ente e il suo stesso interesse, in quanto legale, a ottenere una pronuncia favorevole nei ricorsi pendenti; oppure, fare bene l’avvocato e sostenere in giudizio la liceità della videosorveglianza, ma, così facendo, far male il Dpo compromettendo l’autonomia di giudizio e la posizione di indipendenza che lo stesso, in veste di Dpo, era tenuto ad assicurare.

Il Garante aggiunge anche un argomento indossando le vesti del cittadino interessato. Quest’ultimo, in base al Gdpr, ha il diritto di contattare il Dpo per tutte le questioni relative alla privacy, ma è impossibile che possa fidarsi di un Dpo che si trova di fronte come avversario in un processo. Se un titolare del trattamento, conclude il Garante, affida al suo Dpo la propria difesa in giudizio, lo pone in una posizione di conflitto di interesse: perciò il titolare del trattamento va sanzionato.

Il professionista. Fin qui l’ingiunzione del Garante, che punisce il titolare del trattamento. D’altra parte, il Dpo non potrebbe essere sanzionato dal Garante, in quanto il Gdpr non prevede sanzioni amministrative a carico del Dpo.

I professionisti, però, non devono illudersi, poiché la situazione del conflitto di interessi potrebbe far emergere una responsabilità contrattuale del professionista-Dpo.

L’articolo 39 Gdpr, infatti, prevede tra i compiti essenziali del Dpo, quello di sorvegliare sul fatto che il titolare del trattamento non violi il Gdpr.

Quindi, il Dpo deve sorvegliare anche sul fatto che il titolare del trattamento osservi il divieto di affidare compiti al Dpo in conflitto di interesse.

Se il titolare del trattamento convoca il Dpo e gli comunica di volergli conferire un incarico in conflitto di interessi, il Dpo deve avvertire il titolare del trattamento del fatto che sta per violare l’articolo 38 Gdpr.

Se non lo fa, bisogna capire che cosa può capitare, da un lato, per l’incarico professionale e, dall’altro, a proposito dell’incarico di Dpo.

Riprendendo il caso dell’ingiunzione in commento, si ritiene che il fatto di essere Dpo non incida sul mandato difensivo e, quindi, non ci siano ripercussioni sulla validità della procura difensiva.

Quanto agli effetti sul rapporto titolare-Dpo, non avere rifiutato un incarico in violazione del conflitto di interessi è una violazione dell’obbligo contrattuale assunto dal Dpo (sorvegliare sull’esatto adempimento del Gdpr). Non a caso, il mancato rifiuto dell’incarico ulteriore ha portato il titolare del trattamento alla sanzione del Garante ed è questa la prova della inadempienza contrattuale del Dpo.

Da qui derivano altre possibili conseguenze: scioglimento del contratto con il Dpo e/o risarcimento del danno derivante dall’inadempimento contrattuale.

Quanto sopra vale non solo per gli avvocati, ma per qualsiasi professionista in posizione analoga, cioè in situazioni nelle quali la prestazione professionale sposi interessi di merito del committente in possibile conflitto con l’autonomia e indipendenza di giudizio nella sorveglianza privacy del titolare-committente.

Il professionista, dunque, deve pensarci molto bene, prima di accettare un incarico quale Dpo di un suo cliente per prestazioni professionali: il rischio è che, per continuare a fare il Dpo, perda incarichi e occasioni di lavoro.

Valutazioni ex ante. Il pensiero che bisogna fare è se non sia più prudente (sia per il professionista sia per il committente) chiudere tutti gli incarichi pendenti e dedicarsi esclusivamente a fare il Dpo. Salvo si preferisca scegliere di valutare di volta in volta se un incarico ulteriore costituisca violazione del conflitto di interessi, addentrandosi in un terreno scivoloso e precario, strutturalmente aleatorio.

Lo stesso Garante, nell’ingiunzione in esame, ragiona sul fatto che è difficile prevedere a priori che una vertenza giudiziaria non possa coinvolgere anche profili di protezione dei dati personali.

Da una causa, ma anche da incarichi di altra natura (consulenza fiscale, consulenza del lavoro, consulenza tecnica, ecc.) possono venire sempre fuori profili che riguardano la privacy, che è trasversale a tutte le materie.

Da questa considerazione il Garante ha tratto spunto per invitare i titolari del trattamento a designare un Dpo che, contemporaneamente, non svolga per le medesime il ruolo di difensore in giudizio e, si aggiunge, di professionista fiduciario (a riguardo di temi che possono toccare aspetti di privacy).

Per le stesse considerazioni ci si chiede se non valga la pena di valutare il conflitto di interessi non caso per caso, ma ex ante e in astratto.

Questo significa fare una scelta radicale ed escludere a priori dal novero dei soggetti (dipendenti o professionisti esterni) tra cui scegliere il Dpo, un certo professionista, in quanto tale e per il solo fatto di essere incaricato di pratiche pendenti o individuabile in futuro come fiduciario. Ex post, come l’ingiunzione del Garante in commento insegna, potrebbe essere troppo tardi.
Fonte:
logoitalia oggi7