Quante volte abbiamo sentito dire che il DPO non è mai responsabile per le violazioni del GDPR? Il che è vero se la premessa è considerare solo il GDPR. Ma poiché esistono anche altre fonti normative e la responsabilità del DPO non è solo quella che può accertare il Garante Privacy ma esiste anche una responsabilità di natura civile e penale, è bene aver chiaro che cosa accade non solo quando l’organizzazione designante viola il GDPR ma, soprattutto, il DPO ci ha messo del suo. O non facendo bene il proprio lavoro, o non facendo proprio nulla quando invece avrebbe dovuto svolgere quanto meno un’attività di sorveglianza.
Infatti, se si va a valutare l’adeguatezza alla funzione o il collocamento all’interno dell’organizzazione allora la responsabilità è principalmente in capo al designante. Ma non ci possono essere le stesse conclusioni circa lo svolgimento dei compiti del DPO in cui c’è invece una condivisione di responsabilità. Vero, è sempre l’organizzazione a rispondere in forza di accountability perchè deve garantire – fra gli altri obblighi – anche il rispetto degli artt. 37 e 39 GDPR. Ma in sede civile e penale non è detto che si esaurisca tutto nell’organizzazione, non solo nelle più rumorose ipotesi di data breach, ma anche in caso di sanzioni irrogate dal Garante Privacy, nonché alle condanne ai risarcimenti richiesti da parte degli interessati e, in via meno ricorrente, anche ai procedimenti penali.
La responsabilità civile del DPO fra inadempimento e danno
Sul fronte civile sono certe almeno due cose, che bene o male stabiliscono i criteri di orientamento per valutare gli inadempimenti della funzione. Una è che il DPO è sempre civilmente responsabile per l’adempimento dei compiti nei confronti del designante. Nella soglia minima i suoi obblighi sono infatti definiti dall’art. 39 GDPR, ma possono anche essere estesi o definiti per tramite di una contrattualizzazione dell’incarico. In nessun caso possono essere ridotti né parcellizzati in quanto la fonte è il GDPR stesso. Certamente le declinazioni operative possono – o meglio: devono – essere oggetto di stipulazione, anche perchè solo in questo modo si può rendicontare l’adeguatezza del DPO designato.
Un’altra certezza è che il DPO potrà quasi sempre giovarsi dell’art. 2236 c.c. dal momento che la materia e la natura dell’incarico contemplano la soluzione di quei problemi tecnici di speciale difficoltà per cui il prestatore d’opera va a rispondere solo per dolo e colpa grave. Altrettanto vero, però, è che un mancato aggiornamento professionale sulla data protection o il peccato originale di accettare un incarico senza averne le competenze, non configura una colpa lieve.
L’incertezza relativa ai margini di responsabilità penale del DPO
Fino a che punto il DPO può essere penalmente responsabile? Qui c’è un dilemma giuridico circa la responsabilità delle funzioni di controllo nel caso in cui abbiano omesso di esercitare i propri compiti, che nell’ipotesi analoga dell’Organismo di Vigilanza 231, ad esempio, non sussiste.
C’è però un margine di responsabilità commissiva nel caso in cui il DPO possa aver contribuito alla realizzazione di alcuni reati previsi dal Codice Privacy.
Ad esempio: la Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante prevista e punita dall’art. 168 Cod. Privacy, la cui realizzazione può essere prospettabile anche a titolo di concorso in considerazione dell’apporto del DPO alle dichiarazioni o ai documenti forniti dall’organizzazione. Parimenti si potrebbe dire l’adozione di comportamenti dilatori, in quanto idonei a turbare “la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti”, già sanzionabili amministrativamente ai sensi dell’art. 31 GDPR il quale prevede l’obbligo di cooperazione con l’autorità di controllo.
