Pubblica amministrazione - Pubblica amministrazione -  Alceste Santuari - 20/09/2019

La persona fisica che agisce in qualità di RPD deve potersi ricondurre alla persona giuridica incaricata – Tar Puglia 1468/19

Un comune ha indetto una procedura ex art. 36, comma 2, lett a), Codice dei contratti pubblici, per il conferimento dell’incarico biennale per l’attuazione del Regolamento U.E. n. 679 del 2016 sulla protezione dei dati personali ed individuazione del Responsabile per la Protezione dei Dati (R.P.D.).

A seguito delle verifiche di rito, la stazione appaltante ha affidato l’incarico ad una s.r.l. in persona del suo legale rappresentante.

La graduatoria così come stilata dalla Commissione giudicatrice è stata impugnata. Dei numerosi profili di illegittimità sollevati da parte ricorrente, di seguito ne esaminiamo soltanto due e segnatamente:

-) l’illegittimità degli atti di gara impugnati in quanto “Il bando prevede esclusivamente la partecipazione di persone fisiche, e lo si evince chiaramente dai requisiti generali richiesti”;

-) l’illegittimità degli atti impugnati, in quanto non risulta evidenziato il legame fra la società e la persona fisica individuata quale R.P.D. Al riguardo, nello specifico, parte ricorrente ha evidenziato che la persona fisica in parola “non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune[…] per eventuali inadempimenti e/o danni provocati dal detto soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.

Il Tar Puglia, Lecce, sezione III, con sentenza n. 1468 del 13 settembre 2019, ha respinto la prima doglianza, mentre ha accolto la seconda.

In ordine al primo profilo di presunta illegittimità, i giudici amministrativi pugliesi hanno evidenziato che “l’avviso di manifestazione di interesse pubblicato dal Comune[...] è volto a dare esecuzione al Regolamento Europeo n. 2016/679” e il predetto “Regolamento UE prevede espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare del trattamento o del responsabile del trattamento (art. 37, par. 6). Ed è chiaro che nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Le Linee Guida (Punto 2.5) hanno specificato che qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà anche essere una persona giuridica.”.

Ancorché l’avviso pubblico possa essere stato “mal redatto e calibrato col retropensiero rivolto alle persone fisiche” non è possibile ritenere che le persone giuridiche siano escluse espressamente dalla possibilità di essere indicate quali R.P.D.

Avuto riguardo al secondo motivo di contestazione, la Sezione, richiamando “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016”, ha ribadito la “(necessaria) posizione” della persona fisica che agisce in qualità di R.P.D. all’interno di una persona giuridica, qualora la funzione di R.P.D. sia svolta, come nel caso de quo, da una persona giuridica.