Licenziamento per giusta causa del DPO dipendente del titolare del trattamento

Massima

Il diritto dell'Unione, segnatamente il regolamento UE 2016/679 non osta a una normativa nazionale che prevede che il titolare del trattamento o il responsabile del trattamento possa rimuovere il responsabile della protezione dei dati, che sia suo dipendente, solo per giusta causa. Inoltre, si configura un «conflitto di interessi», ai sensi del regolamento UE 2016/679, qualora il responsabile della protezione dei dati sia incaricato di altri compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento o il responsabile del trattamento, circostanza che spetta al giudice nazionale stabilire caso per caso, sulla base di una valutazione complessiva delle circostanze pertinenti.

Il caso

La Corte di Giustizia, Sesta Sezione, 9 febbraio 2023 è intervenuta nella Causa C-453/21, su un caso che  nasce in seno ad un giudizio promosso dal ricorrente per contestare la rimozione quale responsabile della protezione dei dati, per essere sia presidente del consiglio aziendale sia responsabile della protezione dei dati nell'impresa resistente e dalla sua controllante, nonché dalle altre controllate di quest'ultima con sede in Germania.

A seguito della entrata in vigore del RGPD, con lettere separate del 25 maggio 2018, la resistente e le altre tre imprese del gruppo revocavano la designazione del ricorrente quale RPD, in via cautelativa, anche in forza dell'art. 38, par. 3, seconda frase, del RGPD, facendo riferimento a motivi aziendali e asserendo la sussistenza di un rischio di conflitti di interesse nella contemporanea assunzione dei due ruoli sopra indicati. Il datore di lavoro, aveva così sostenuto che il licenziamento era basato sul «rischio di conflitto di interessi se CF svolge contemporaneamente le funzioni di RPD e di presidente del comitato aziendale, in quanto questi due posti sono incompatibili”.

Il giudice di primo grado aveva però accolto il ricorso con sentenza confermata in appello e avverso tale decisione la società resistente proponeva ricorso per cassazione.

Il giudice del rinvio ha sollevato la questione alla Corte di giustizia dubitando della compatibilità con il diritto europeo della normativa tedesca in discorso, che - diversamente dall'art. 38, par. 3, seconda frase, del RGPD - prevede l'inefficacia della risoluzione ordinaria del rapporto di lavoro del RPD da parte del titolare del trattamento, suo datore di lavoro, indipendentemente dal fatto che tale risoluzione avvenga per motivi inerenti all'adempimento dei compiti in veste di RPD.

La questione

La Corte di Giustizia UE con la sentenza 9 febbraio 2023, C453/21 è intervenuta (nuovamente) a seguito del rinvio pregiudiziale sull'art. 38, par, 3 regolamento (UE) 2016/679 relativo al requisito di indipendenza funzionale del responsabile della protezione dei dati nonché sul divieto di rimozione del responsabile della protezione dei dati in assenza di giusta causa e quindi sui criteri per valutare il conflitto di interessi ai sensi dell'art. 38, par. 6 GDPR. Il tema del licenziamento del RPD e del conflitto di interessi che può verificarsi non è nuovo e lo stesso giudice del Lussemburgo se ne era già occupato con la sentenza emanata nella causa C 534/20 (CGUE 21 ottobre 2020 C 534/2020).

Il punto centrale della questione è senza dubbio l'art. 38, par. 3 GDPR che nel prevedere che il RPD “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti”, intende garantire l'indipendenza e autonomia del RPD all'interno dell'organizzazione del titolare/responsabile del trattamento dei dati (cfr. anche il considerando 97).

Le soluzioni giuridiche

La Corte con la pronuncia del 9 febbraio 2023 ha chiarito che «l'art. 38, paragrafo 3 [...] deve essere interpretato nel senso che non osta a una normativa nazionale che prevede che un titolare del trattamento o un responsabile del trattamento possa licenziare un responsabile della protezione dei dati che è un membro del personale di tale titolare o responsabile del trattamento esclusivamente in caso di giusta causa, anche se il licenziamento non è correlato all'espletamento dei compiti di tale titolare, nella misura in cui tale normativa non pregiudichi il conseguimento degli obiettivi del RGPD”.

La Corte ha anche precisato come l'art. 38, par. 6 GDPR, indichi che esiste un conflitto di interessi quando un RPD ha "altri compiti o doveri, che lo porterebbero a determinare gli obiettivi e le modalità del trattamento dati personali da parte del titolare del trattamento o del responsabile del trattamento, che spetta al giudice nazionale determinare, caso per caso, sulla base di una valutazione di tutte le circostanze pertinenti, in particolare la struttura organizzativa del titolare del trattamento o del responsabile del trattamento e alla luce di tutte le norme applicabili, comprese eventuali politiche del titolare del trattamento o del suo responsabile del trattamento".

Osservazioni

Questa recente sentenza dà lo spunto per approfondire il tema del RPD e la sua indipendenza da un lato e del possibile conflitto d'interessi dall'altra nell'ordinamento italiano. Preliminarmente occorre osservare che ai sensi di tale disciplina la fattispecie della ristrutturazione aziendale rientra tra i giustificati motivi oggettivi di risoluzione del rapporto di lavoro, inoltre è importante rilevare che la normativa nazionale sul recesso datoriale dal rapporto di lavoro individuale e il Codice per la protezione dei dati personali non prevedono una disciplina specifica per il RPD. Ne consegue che nel sistema giuridico nazionale l'unica previsione ad hoc è rappresentata proprio dall'art. 38, par. 3, GDPR, seconda frase, norma obbligatoria in tutti i suoi elementi e direttamente applicabile nel nostro ordinamento.

A mente della disposizione in parola il RPD “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti”. Con tale previsione si intende assicurare l'indipendenza del RPD e creare le condizioni affinché lo stesso possa operare con autonomia all'interno dell'organizzazione del titolare/responsabile, atteso il ruolo fondamentale che il nuovo sistema di governance riconosce a tale figura. A mente del considerando 97, infatti, i responsabili della protezione dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente (con riguardo al RPD si veda anche il Manuale RPD - Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell'Unione Europea (Regolamento (UE) 2016/679) elaborato per il programma “T4DATA” finanziato dall'UE).

Come evidenziato dal Working Party Art. 29 nelle Linee guida sui responsabili della protezione dei dati, adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017 (WP 243 rev. 01) l'art. 38, par. 3 GDPR “mira a potenziare l'autonomia del RPD e ad assicurarne l'indipendenza nell'adempimento dei compiti assegnatigli, attraverso la previsione di un'adeguata tutela. Il divieto di penalizzazioni menzionato nel RGPD si applica solo con riguardo a quelle penalizzazioni eventualmente derivanti dallo svolgimento dei compiti propri del RPD. Per esempio, un RPD può ritenere che un determinato trattamento comporti un rischio elevato e quindi raccomandare al titolare o al responsabile di condurre una valutazione di impatto, ma questi ultimi non concordano con la valutazione del RPD. In casi del genere non è ammissibile che il RPD sia rimosso dall'incarico per avere formulato la raccomandazione in oggetto.

Le penalizzazioni possono assumere molte forme e avere natura diretta o indiretta. Per esempio, potrebbero consistere nella mancata o ritardata promozione, nel blocco delle progressioni di carriera, nella mancata concessione di incentivi rispetto ad altri dipendenti. Non è necessario che si arrivi all'effettiva applicazione di una penalizzazione, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al RPD in rapporto alle attività da questi svolte”.

Di grande aiuto sono le stesse linee guida che precisano anche che “sarebbe legittimamente possibile interrompere il rapporto con il RPD per motivazioni diverse dallo svolgimento dei compiti che gli sono propri: per esempio, in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni deontologiche” (così il par. 3.4 “Rimozione o penalizzazioni in rapporto all'adempimento dei compiti di RPD” delle Linee guida citate). Ad avviso della giurisprudenza amministrativa italiana “Tali Linee guida ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati” (così TAR Puglia, Lecce, Sez. III, sent. 13 settembre 2019, n. 01468/2019).

Importante sottolineare come le disposizioni di cui all'art. 38 GDPR trovano applicazione non solo nel caso in cui la designazione del RPD sia obbligatoria, ai sensi dell'art. 37, par. 1 GDPR, ma anche nelle ipotesi considerate nel successivo par. 4 (casi di designazione del RPD diversi dai tre obbligatori di cui al par. 1).

Infine, in merito alla sussistenza di una condizione di conflitto di interessi in linea generale, tale condizione si può verificare allorché la figura individuata quale RPD rivesta, all'interno dell'organizzazione del titolare/responsabile dei dati, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

Sul punto, infatti, nelle già citate “Linee guida sui responsabili della protezione dei dati”, si prevede che “l'assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l'affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all'interno dell'organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento.”

Le Linee guida raccomandano, pertanto, l'adozione di buone pratiche, quali quelle di individuare preventivamente le qualifiche e funzioni che sarebbero incompatibili con quella di RPD e redigere regole interne onde evitare conflitti di interessi.

Con particolare riferimento ai soggetti che partecipano a organismi collegiali, anche ricoprendo posizioni di vertice, nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” adottato con Provvedimento del Garante 29 aprile 2021, n. 186 (punto 10.1), è stata specificata la possibilità di contemplare “misure che possono ritenersi adeguate a prevenire rischi di conflitti di interessi, come, ad esempio, la previsione che i componenti che ritengano di trovarsi in tale situazione, lo dichiarino e, conseguentemente, si astengano sia dalla discussione che dalla deliberazione. Per queste ragioni, si ritiene che il componente di tale organismo collegiale, qualora investito dell'incarico di RPD, non versi, per ciò stesso, in una situazione di conflitto di interessi, a condizione che siano presenti e pienamente rispettate misure di prevenzione dei conflitti di interessi. In ogni caso, l'ente deve tenere nella dovuta considerazione il fatto che l'accumulo di incarichi ulteriori sulla figura chiamata a svolgere il ruolo di RPD inficia la capacità del medesimo di assolvere efficacemente ai compiti assegnatigli dal Regolamento”.

In quest'ottica, vanno considerati gli eventuali specifici compiti attribuiti al RPD al fine di verificare se la loro esecuzione comporti la definizione delle finalità o modalità del trattamento di dati personali e, in caso positivo, se siano previste delle misure volte a evitare situazioni di conflitti di interessi.

Una siffatta valutazione dovrebbe essere effettuata in maniera ancor più rigorosa con riferimento agli incarichi o ai compiti paralleli eventualmente conferiti al RPD, che potrebbe contenere talune prerogative il cui esercizio eleva i rischi di incompatibilità con il proprio ruolo; peraltro, al riguardo, va anche considerata la circostanza se tali prerogative siano effettivamente oggetto di misure di prevenzione, quali, ad esempio, l'astensione dalla discussione in un organismo collegiale e dalla decisione e/o la delega in favore di terzi.

Coerentemente a quanto previsto nelle “Linee guida sui responsabili della protezione dei dati”, e come chiarito nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” sopra citato, l'esame concreto delle caratteristiche di ciascuna singola realtà lavorativa quali le dimensioni della struttura, le risorse umane a disposizione, la particolarità e la complessità dell'ente, le tipologie e le modalità dei trattamenti svolti, la quantità dei dati trattati e la loro quantità, potrà portare ad una valutazione completa sulla eventuale esistenza di cause di incompatibilità. Importante tenere presente che la valutazione dovrà comunque essere documentata dal titolare del trattamento, nel rispetto del principio di accountability come previsto agli artt. 5 par. 2 e 24 GDPR.