Il DPO deve essere dipendente della persona giuridica
Questa sentenza farà discutere: secondo i giudici di Lecce il DPO, se si affida l’incarico ad una persona giuridica, non può essere un professionista esterno ma deve essere dipendente della Società in questione. Il GDPR non prevede nulla del genere, per cui i giudici si sono appoggiatati a delle linee guida del fu WP29 per motivare la propria decisione. Certo, che a svolgere il ruolo di DPO debba essere, in ultima analisi, una persona fisica individuata in modo specifico, anche per dare continuità al rapporto e all’azione, sembrava abbastanza assodato, ma che si debba entrare nel merito del rapporto in essere tra la società di servizi ed il DPO sembra bizzarro. Per la Pubblica Amministrazione il problema di appalti e subappalti è pane quotidiano in molti campi: una volta era comune che un ditta vincesse un appalto e poi non la si vedesse mai, lasciando il lavoro effettivo a dei sub-appaltatori, che poi sub-sub appaltavano a loro volta. Oggi ci sono dei limiti, ma ovviamente non ci si può aspettare di commissionare un asilo ed aspettarsi che la ditta provveda a tutto, dalla progettazione allo scavo agli impianti al parco giochi ed alla vegetazione. Se dunque può avere senso che affidando l’incarico ad una ditta specializzata in privacy ci si possa ragionevolmente aspettare che operi in prima persona, è altrettanto ragionevole che se ci si affida ad una società di servizi generali per la ragioneria, la manutenzione degli edifici, la progettazione tecnica, la privacy almeno uno di questi servizi possa essere subappaltato. Questo da un punto di vista pratico, lasciando all’articolo l’analisi giuridica specifica.