Vai al contenuto

Il tribunale civile di Prato ha stabilito che un responsabile della protezione dei dati (DPO) non ha diritto a ricevere compenso se non dimostra di aver svolto le proprie attività. Questo principio è emerso dalla sentenza n. 665 del 19 agosto 2024, che ha rigettato le richieste di un avvocato-DPO.

Nella vicenda, l’avvocato ha chiesto a una società il pagamento di compensi mensili di 200 euro (più IVA), accumulando oltre 10.000 euro, in virtù di un contratto che lo nominava responsabile della protezione dei dati. Tuttavia, il professionista era stato designato DPO per tre società, che avevano concordato una nomina condivisa. Un punto controverso era se i 200 euro mensili fossero per ciascuna delle tre aziende (per un totale di 600 euro al mese) o un compenso complessivo per tutte insieme. Il tribunale ha deciso a sfavore dell’avvocato, sostenendo che le clausole contrattuali indicavano chiaramente che il compenso mensile fosse unico, dato che il professionista aveva sempre fatturato solo 200 euro al mese.

Un aspetto cruciale della decisione è emerso durante il processo, quando la società ha chiesto la restituzione delle somme già pagate, richiedendo la risoluzione del contratto per inadempimento. La società ha sostenuto che l’avvocato non avesse effettivamente adempiuto al suo incarico di DPO, poiché non aveva mai fornito comunicazioni né rapporti sulle attività che doveva svolgere dopo la sua nomina nel maggio 2018. Il tribunale ha dato ragione alla società, sottolineando che il professionista non aveva presentato prove di aver svolto il proprio lavoro.

L’avvocato-DPO si è limitato a affermare che collaborava con un altro legale, consulente privacy della società, e che il suo compito consisteva nel garantire la conformità alle normative sulla protezione dei dati. Tuttavia, il tribunale ha ritenuto insufficienti queste affermazioni, considerando che non vi erano evidenze concrete delle attività svolte.

Di conseguenza, la sentenza ha messo in evidenza che un DPO deve essere attivo e intraprendente, organizzando riunioni, raccogliendo informazioni, inviando comunicazioni operative e conducendo controlli periodici, sempre documentando il proprio operato.

Questa pronuncia è significativa perché dimostra come, nella pratica, il ruolo di DPO venga spesso sottovalutato, nonostante la sua importanza nell’ambito del GDPR. Da un lato, ci sono professionisti che offrono i loro servizi a compensi molto bassi, mentre dall’altro lato, molte aziende e enti pubblici percepiscono il DPO come una figura marginale e un costo da ridurre al minimo. Questa situazione mette in luce le difficoltà nel garantire un’adeguata protezione dei dati, fondamentale per il rispetto della normativa europea.

(liberamente ispirato dall’articolo di Antonio Ciccia Messina su Italia Oggi)