Con un provvedimento del 1° aprile 2020, l’Autorità spagnola per la protezione dei dati personali (“Agencia Española Protección Datos” – “AEPD”) ha sanzionato una società iberica di consegne a domicilio, realizzate attraverso prenotazioni su una piattaforma on line, utilizzata da migliaia di clienti, per omessa  nomina del Data Protection Officer (“DPO” o “Responsabile della protezione dei dati”) ai sensi dell’articolo 37 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“Regolamento”).

La figura del DPO rappresenta uno dei profili di novità introdotti dal Regolamento. Gli articoli 37, 38 e 39, infatti, contengono, rispettivamente, le prescrizioni in merito (i) alla designazione del DPO (ii) alla posizione che tale figura assume all’interno di una organizzazione nonché (iii) all’indicazione dei compiti minimi che devono essergli assegnati tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità dei trattamenti posti in essere dal Titolare o dal Responsabile del trattamento.  

Tuttavia, stando ad una interpretazione letterale del Regolamento, non tutti i Titolari o i Responsabili del trattamento sono obbligati a designare tale figura.

Tale linea interpretativa nasce dal contenuto dell’articolo 37 secondo il quale si deve procedere con la nomina del DPO ogniqualvolta: “(i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (…)”, “(ii) le attività principali (…) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” ovvero “(iii) le attività principali (…) consistono nel trattamento, su larga scala, di categorie particolari di dati personali (…) o di dati relativi a condanne penali (…)”.

Sin dalle prime interpretazioni del Regolamento, tali ipotesi hanno intavolato numerosi dibattiti con conseguenti posizioni differenti da parte della dottrina. Le espressioni “larga scala” “monitoraggio regolare e sistematico degli interessati sul larga scala” sottendono dei profili di genericità che spesso, nell’applicazione operativa del Regolamento, possono determinare dei dubbi interpretativi.

Sul punto, il provvedimento dell’AEPD in esame assume profili di rilevanza non solo perché contiene una delle prime sanzioni erogate dall’entrata in vigore del GDPR in seguito alla rilevazione della mancata nomina del DPO ma, soprattutto, perché rappresenta un precedente nella definizione e demarcazione del concetto di “larga scala”. L’Autorità spagnola, infatti, mette in luce la rilevanza numerica dei soggetti interessati dal trattamento quale condizione utile a determinare il generico concetto di larga scala.

In ambito nazionale, fermo restando quanto prescritto dal Regolamento, il Garante per la protezione dei dati personali ha precisato come sia possibile nominare un DPO anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, tale figura. Si ricorda, infine, che la violazione degli obblighi previsti dai citati artt. 37, 38 e 39 del Regolamento comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Altri insights correlati:

Le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) in ambito privato

LO SAI CHE.. Il GDPR ha introdotto la figura del DPO?

L’Ispettorato Nazionale del Lavoro (“INL”), con nota 5398/2019, ha fornito il proprio parere in merito ad una ipotesi di distacco transnazionale di lavoratori, effettuato da un’impresa stabilita in uno Stato della UE in favore di una propria unità produttiva ubicata in Italia.

 

Caso di specie

Gli ispettori hanno contestato una fattispecie di distacco non autentico, ai sensi dell’art. 3, comma 5, del D.Lgs. 136/2016, nei confronti del medesimo datore di lavoro che assume la veste di soggetto distaccante e soggetto distaccatario.

 

Gli ispettori pur riscontrando due distinte condotte illecite – distacco dei lavoratori da parte della sede principale dell’impresa ed utilizzo degli stessi da parte della sede italiana della medesima impresa – hanno ascritto le stesse ad un unico soggetto, non potendo individuare due soggetti datoriali distinti.

 

Normativa di riferimento

L’art. 3, comma 5, del D.Lgs 136/2016 dispone che “nelle ipotesi in cui il distacco non risulti autentico il distaccante e il soggetto che ha utilizzato la prestazione dei lavoratori distaccati sono puniti con la sanzione amministrativa pecuniaria di 50 euro per ogni lavoratore occupato e per ogni giornata di occupazione”.

 

Risulta così punita tanto la condotta dell’invio in distacco dei lavoratori da parte della impresa distaccante, quanto quella concernente l’utilizzo dei medesimi lavoratori da parte del soggetto distaccatario.

 

Ci si è posti, pertanto, il problema di valutare se l’unico soggetto – distaccante e distaccatario – dovesse essere condannato alla doppia sanzione, in considerazione della duplice violazione.

 

Le conclusioni dell’INL

Prima di entrare nel merito del quesito l’INL ha evidenziato che l’unità produttiva di una determinata impresa può considerarsi autonoma sede secondaria, nei confronti della quale contestare illeciti e adottare relativi provvedimenti sanzionatori, solo se costituisce un distinto centro di responsabilità. Ciò si verifica allorquando la sede secondaria/unità produttiva costituisce un mero ufficio di rappresentanza, con funzioni esclusivamente promozionali e pubblicitarie, di raccolta di informazioni, di ricerca scientifica o di mercato, o svolge, ad esempio, un’attività preparatoria all’apertura di una filiale operativa.

 

In altri termini, a parere dell’INL, la sede secondaria di una compagine aziendale può configurarsi come distinto soggetto giuridico qualora risulti iscritto nel registro delle imprese e identificato in Italia tramite un proprio rappresentante legale.

 

Nel caso di specie, sempre secondo l’INL, sembrerebbe non riscontrarsi un’alterità tra il soggetto distaccante e l’impresa utilizzatrice, poiché i lavoratori risulterebbero inviati dalla sede principale dell’impresa distaccante estera presso una propria unità produttiva ubicata in Italia, priva di una autonoma

rappresentanza legale e gestita esclusivamente da un preposto nominato dalla medesima sede principale.

In considerazione di quanto sopra esposto nel caso di specie, stante l’appartenenza dell’impresa distaccante e dell’impresa distaccataria alla medesima organizzazione datoriale, trova applicazione una sola sanzione da comminare all’unico soggetto dotato di personalità giuridica, ossia il distaccante.

La Corte di Cassazione, con sentenza n. 11027 del 5 maggio 2017, torna a pronunciarsi in tema di licenziamento disciplinare. Nella sentenza in esame, la Corte, richiamando precedenti giurisprudenziali, ha ribadito che il giudice non può estendere il catalogo delle giuste cause o dei giustificati motivi soggettivi di licenziamento oltre quanto stabilito dall’autonomia delle parti. Ciò significa, secondo la Corte, che condotte pur astrattamente ed eventualmente suscettibili di integrare giusta causa o giustificato motivo soggettivo ai sensi di legge non possono rientrare nel relativo novero se l’autonomia collettiva le ha espressamente escluse, prevedendo per esse sanzioni meramente conservative. In sostanza è illegittimo il recesso adottato in relazione ad una condotta (nel caso di specie diverbio non seguito da vie di fatto) che il contratto collettivo di settore non punisce con la misura estrema.