DPO e affidamento all’esterno dell’incarico: i principi da seguire

Con una recente delibera (n.421 del 13 maggio 2020), l’ANAC ha espresso un parere in merito alla disciplina applicabile ai contratti aventi ad oggetto servizi di espletamento dell’incarico di DPO, sottoscritti ai sensi dell’articolo 37 par.6) del GDPR, con particolare riferimento al principio di rotazione e rinnovo.

 

Il servizio di espletamento dell’incarico di DPO come appalto di servizi

Secondo quanto stabilito dall’ANAC, l’affidamento all’esterno del servizio di espletamento dell’incarico di DPO si configura come un appalto di servizi e, in quanto tale, la stazione appaltante è tenuta al rispetto delle disposizioni del codice dei contratti pubblici (D.lgs 50/2016). Ne consegue l’obbligo di procedere alla scelta del contraente nel rispetto delle procedure stabilite dalla normativa, in ragione dell’importo del contratto. Nello specifico, anche l’affidamento dei contratti aventi ad oggetto questa tipologia di servizio, gestito tramite servizi di e-procurement, deve avvenire nel rispetto del principio di rotazione.

Ma qual è la disciplina da considerare quando si parla di Data Protection Officer?

 

La figura del DPO secondo la normativa europea

Gli artt. 37-39 del GDPR ne disciplinano la figura sotto diversi aspetti.

L’art 37 co.1 par.6) del GDPR prevede espressamente che il responsabile della protezione dei dati può essere un dipendente del Titolare o del Responsabile del trattamento (DPO interno) oppure assolvere i suoi compiti in base a un contratto di servizi.

Anche le Linee Guida sui responsabili della protezione dei dati sono orientate in tal senso, prevedendo che qualora il DPO sia esterno, le sue funzioni possono essere esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica, ed eventualmente, anche con il supporto di un team operante sotto l’autorità di un contatto principale e “responsabile” per il singolo cliente.

Per favorire efficienza e correttezza e per evitare conflitti di interesse a carico dei componenti del team, le linee guida raccomandano di procedere a una chiara ripartizione dei compiti nel team del DPO esterno, attraverso il contratto di servizi, e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente.

 

La posizione di “indipendenza” del DPO

Il Responsabile della protezione dei dati assume una posizione di “indipendenza” rispetto al Titolare e al Responsabile del trattamento.

Se è pur vero che, ai sensi dell’art. 38 par.2) “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”, non è da trascurare quanto esposto dal successivo paragrafo 3) che prevede che “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Infatti vi sono numerose garanzie che possono consentire al DPO di operare in modo indipendente:

  • nessuna istruzione da parte del titolare del trattamento o del responsabile del trattamento per quanto riguarda lo svolgimento dei compiti affidati al DPO;
  • nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al DPO;
  • nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.

 

Inoltre, i DPO non rispondono personalmente in caso di inosservanza del GDPR. Quest’ultimo chiarisce che spetta al Titolare o al Responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni sono conformi alle disposizioni del regolamento (art. 24, par. 1). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul Titolare del trattamento o sul Responsabile del trattamento che nominano un DPO per la loro organizzazione.

Alla luce di quanto sopra esposto, se è pur vero che la figura del DPO è disciplinata principalmente dalla normativa europea in materia di protezione dei dati, è anche vero che qualora il servizio di espletamento dell’incarico di DPO si configuri quale “esterno”, ci sono altre norme e principi da tenere in considerazione.

 

Uno sguardo alla normativa: codice dei contratti pubblici e Linee Guida ANAC

Nella delibera ANAC precisa che ai sensi dell’art. 36 del Codice dei contratti pubblici, l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie comunitarie (art.35) deve avvenire nel rispetto di alcuni principi: economicità, efficacia, tempestività e correttezza, libera concorrenza, non discriminazione, trasparenza, proporzionalità, nonché di pubblicità (art.30), prevenzione e risoluzione dei conflitti di interessi, nonché del rispetto del principio di rotazione degli inviti.

Mentre i paragrafi 3.6 e 3.7 delle Linee guida 4/2016 di Anac recanti “Procedure per l’affidamento dei contratti pubblici di importo inferiore alle soglie di rilevanza comunitaria, indagini di mercato e formazione e gestione degli elenchi di operatori economici”, offrono una descrizione più dettagliata sul principio di rotazione, affermando che:

  • Il principio di rotazione degli inviti e degli affidamenti si applica alle procedure rientranti nel medesimo settore merceologico, categorie di opere e settore di servizi di quelle precedenti, nelle quali la stazione appaltante opera limitazioni al numero di operatori economici selezionati.
  • Mentre il principio non si applica laddove il nuovo affidamento avvenga tramite procedure ordinarie o comunque aperte al mercato, nelle quali la stazione appaltante, non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.

 

La decisione di ANAC

ANAC, nella menzionata Delibera 421/2020, ha stabilito che il perseguimento di obiettivi raggiungibili a lungo termine (nell’esecuzione del contratto) non possano essere attuati attraverso l’esclusione del principio di rotazione.

E non solo. ANAC ha precisato che la facoltà di poter disporre il rinnovo dei contratti in scadenza (qualora la durata degli stessi non risulti congrua rispetto al raggiungimento degli obiettivi) deve essere prevista già nel bando di gara e che l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto (articolo 35 del codice dei contratti pubblici).

Infatti, i requisiti e gli obiettivi di esperienza e stabilità nell’organizzazione del servizio possono essere perseguiti dalla stazione appaltante, già in fase di progettazione del servizio da affidare, prevedendo una durata del contratto che sia congrua rispetto agli obiettivi da raggiungere e alle prestazioni richieste al contraente.

Inoltre, nella decisione presa dall’ANAC (che, come rilevato, si applica qualora il DPO sia esterno all’organizzazione della stazione appaltante) si evidenzia come il rispetto del principio di rotazione degli affidamenti e degli inviti fa sì che l’affidamento o il reinvito al contraente uscente abbiano carattere eccezionale e richiedano un onere motivazionale più stringente, quali ad esempio, circostanze attinenti alla particolare struttura del mercato.

 

L’obbligo di aggiornamento professionale del DPO

Coloro che già svolgono il ruolo di DPO devono adempiere all’obbligo di cui all’art. 38, par. 2, GDPR per  il mantenimento della propria conoscenza specialistica. La Studio Legale Lisi Academy offre un seminario di aggiornamento professionale per DPO, realizzato in collaborazione con Euroconference.

Il corso si rivolge a tutti i professionisti, dipendenti o consulenti di un’organizzazione, che svolgono il ruolo di DPO e che intendano aggiornarsi e confrontarsi su tematiche specifiche e concrete relative allo svolgimento di tali delicatissime funzioni.

La frequentazione del corso, al termine del quale verrà rilasciato un attestato, permette sia al DPO, che al Titolare o al Responsabile che lo hanno designato di poter dimostrare – nell’ottica del principio di accountability – di aver adempiuto all’obbligo di cui all’art. 38, par. 2, GDPR.

Il corso è erogato in modalità mista, elearning e streaming.
Per maggiori informazioni consulta questa pagina