Il responsabile per la protezione dei dati (DPO) svolge un importante ruolo di vigilanza in merito al rispetto delle prescrizioni di legge e alle politiche sul tema eventualmente adottate dal soggetto che lo ha nominato, sia esso il titolare del trattamento o il responsabile del trattamento.
La materia del DPO – più correttamente le prescrizioni riferite alla sua designazione, ai compiti, alle tutele – è una di quelle poche che il GDPR indirizza indistintamente verso entrambi i titolari e i responsabili.
Di conseguenza, anche il responsabile del trattamento può essere imputabile per la violazione di una delle disposizioni del GDPR in merito al DPO, vedersi irrogato la sanzione amministrativa dall’articolo 83 o essere citato in giudizio anche per risarcimento dei danni eventualmente arrecati (art. 82, GDPR).
Pertanto, quanto riportato in questi commenti si applica indistintamente a soggetti che assumono il ruolo di titolari o responsabili del trattamento.
CGUE C-453/21
Il DPO svolge funzione di vigilanza in merito all’effettività applicativa delle norme applicabili e delle eventuali politiche interne in tema di protezione di dati personali, da parte dell’organizzazione del titolare o del responsabile per la quale è stato nominato.

Per il corretto svolgimento di questo mandato, vi sono alcuni requisiti da rispettare sia per la fase di selezione del candidato sia per quella di gestione delle attività del soggetto delegato.
Nella prima ipotesi è necessario che il DPO da nominare abbia una specifica competenza sia tecnica sia in merito alle caratteristiche dei trattamenti realizzati dall’organizzazione di riferimento.
Sotto il secondo profilo, occorre che il DPO possa svolgere il proprio mandato in condizione di indipendenza, senza ricevere istruzioni in merito all’adempimento dei suoi compiti e senza trovarsi in situazioni di conflitto di interessi.
Dalla formulazione del GDPR, tuttavia, sono sorti alcuni interrogativi sotto l’aspetto applicativo; ad esempio:
- cosa si intende per divieto di penalizzazione;
- in cosa consiste l’indipendenza;
- come si individuano le ipotesi di conflitto di interessi e chi valuta la sussistenza di queste ipotesi;
- nel caso si acquisisca consapevolezza che il DPO nominato si trovi in conflitto di interessi, lo si può rimuovere senza violare il divieto di penalizzazione?
A questi e ad altri quesiti in questo ambito ha dato risposta la decisione del 9/2/2023 della Corte di Giustizia nel caso X-FAB Dresden GmbH & Co. KG contro FC, C-453/21, relativo a una domanda di pronuncia pregiudiziale che essenzialmente verte sull’interpretazione da dare all’articolo 38(3), seconda frase, del GDPR che così recita:
«Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti.».
Il caso
La domanda di pronuncia pregiudiziale scaturisce da una vertenza presso i giudici tedeschi in merito al seguente caso.
FC è alle dipendenze della X-FAB dal 1993 ed esercita presso la società le funzioni di presidente del consiglio aziendale. Egli svolge inoltre la funzione di vicepresidente del consiglio aziendale centrale, istituito per tre imprese del medesimo gruppo di società, aventi sede in Germania.
Con effetto dal giugno 2015, FC viene designato, da ciascuna impresa separatamente, come DPO al fine di garantire un livello uniforme di protezione dei dati in dette imprese.
Rimozione per conflitto d’interessi
Su richiesta del Responsabile della protezione dei dati e della libertà di informazione della Turingia (cioè, l’autorità di supervisione di quel Lande della Germania), la X-FAB e le altre consociate, rimuovono con effetto immediato FC dalle sue funzioni di DPO, sulla base di un conflitto d’interessi valutato in base alla legge tedesca.
FC impugna la decisione di rimozione dinanzi ai giudici tedeschi al fine di far dichiarare la persistenza della sua qualità di DPO. Le società, dal loro canto, si difendono sostenendo che «esiste un rischio di conflitto di interessi se FC esercita contemporaneamente le funzioni di DPO e di presidente del consiglio aziendale, poiché queste due cariche sono incompatibili. Di conseguenza, ricorrerebbe una giusta causa di rimozione di FC dalle sue funzioni di DPO». (v. p. 14, C-453/21).
Nei primi due gradi di giudizio, i giudici accolgono l’azione promossa da FC, mentre la cassazione (Corte federale del lavoro, Germania), pur essendo propensa a uniformarsi ai precedenti giudizi, rinvia alla CGUE con la domanda di pronuncia pregiudiziale.
Continua…