1. Introduzione e definizioni fondamentali: inquadramento dell’accordo nel contesto del GDPR
L’entrata in vigore del Regolamento (UE) 2016/679, noto come Regolamento Generale sulla Protezione dei Dati (GDPR), ha imposto alle pubbliche amministrazioni un profondo ripensamento dei processi di gestione delle informazioni personali, introducendo un quadro normativo fondato sui principi di accountability (responsabilizzazione) e di protezione dei dati fin dalla progettazione (data protection by design and by default). In questo contesto, gli enti pubblici si trovano a dover gestire quotidianamente rapporti con fornitori che, per erogare i propri servizi (dalla gestione dei software per i tributi ai servizi di cloud computing, dalla manutenzione informatica alla gestione delle paghe), trattano dati personali per conto dell’ente stesso.
La disciplina di tali rapporti è imperativamente regolata dall’articolo 28 del GDPR, che impone la stipula di un apposito “contratto o altro atto giuridico”, comunemente definito Data Processing Agreement (DPA). Sebbene l’obbligatorietà di tale atto sia ormai un dato acquisito, permane sovente incertezza circa l’individuazione dell’organo o della figura amministrativa interna all’ente, dotata della competenza a stipulare e sottoscrivere validamente tale accordo. La presente analisi si propone di risolvere tale questione attraverso un’indagine giuridica integrata, che coniuga la normativa europea sulla protezione dei dati con i principi e le norme del diritto pubblico e amministrativo italiano, con particolare riferimento all’ordinamento degli enti locali.
L’obiettivo è fornire a dirigenti, funzionari e segretari uno strumento chiaro, argomentato e operativamente utile per agire in conformità sia al GDPR sia alle regole nazionali sulla ripartizione delle competenze.
1.1. Il Titolare del Trattamento: l’Ente pubblico inteso nel suo complesso
Per individuare chi abbia il potere di firma, è preliminarmente indispensabile definire con precisione chi sia il “Titolare del trattamento” nel contesto di un ente pubblico. Il GDPR, all’articolo 4, paragrafo 1, n. 7, definisce il Titolare come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“.
L’applicazione di tale definizione al settore pubblico conduce a una conclusione univoca e consolidata: il Titolare del trattamento non è la persona fisica che ricopre la carica di vertice politico-amministrativo (il Sindaco, il Presidente della Provincia o della Regione), bensì l’ente pubblico nella sua interezza, quale persona giuridica o organismo pubblico complessivamente considerato. Alla luce di questa interpretazione, già pacifica sotto la vigenza della precedente normativa (Legge 675/1996 e D.Lgs. 196/2003 “Codice privacy”) e confermata dal Garante per la protezione dei dati personali sin dal 1997 (Cfr. parere a Ferrovie dello Stato del 09/12/1997 [doc. web. n. 30915]), “In altre parole, qualora il trattamento sia effettuato nell´ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l´entità nel suo complesso (ad esempio, la società, il ministero, l´ente pubblico, l´associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all´esterno (ad esempio, l´amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).“.
Anche il Comitato Europeo per la Protezione dei Dati (EDPB), nelle sue Linee Guida 07/2020 (versione finale 2.0 del 2021), ha ribadito che, “In pratica, tuttavia, è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR”
Questa precisazione è di fondamentale importanza. Identificare l’ente (es. il Comune di Roma, la Regione Lombardia, ecc.) come Titolare del trattamento significa che il GDPR è soddisfatto per quanto concerne l’imputazione della responsabilità generale.
La questione successiva – “Chi agisce in nome e per conto dell’ente per adempiere agli obblighi del Titolare?” – non trova risposta nel GDPR, ma deve essere risolta alla luce dell’ordinamento giuridico nazionale che disciplina l’organizzazione e il funzionamento di quello specifico ente pubblico. La problematica della competenza alla stipula del DPA viene così correttamente traslata dal piano del diritto europeo della privacy a quello del diritto amministrativo interno, che regola la ripartizione delle funzioni tra i diversi organi dell’amministrazione.
1.2. Il Responsabile del Trattamento (Data Processor): ruolo e garanzie essenziali
Accanto al Titolare, l’articolo 28 del GDPR disciplina la figura del “Responsabile del trattamento”. Ai sensi dell’articolo 4, paragrafo 1, n. 8, del GDPR, il Responsabile è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“.
Il Responsabile è, per definizione, un soggetto giuridicamente distinto dal Titolare, esterno alla sua organizzazione, che opera non per finalità proprie, ma in esecuzione di un mandato specifico conferitogli dal Titolare stesso. Il suo ruolo è ancillare e strumentale: egli agisce unicamente sulla base di “istruzioni documentate” impartite dal Titolare e non può determinare autonomamente le finalità e i mezzi essenziali del trattamento. Qualora un Responsabile andasse oltre le istruzioni ricevute, determinando proprie finalità e mezzi, sarebbe considerato Titolare per quel trattamento specifico, con tutte le responsabilità che ne conseguono.
Un obbligo cardine del Titolare, sancito dall’articolo 28, paragrafo 1, del GDPR, è quello di ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” a soddisfare i requisiti del GDPR e a tutelare i diritti degli interessati. Questo dovere trasforma la scelta e la nomina del Responsabile da mero adempimento formale a un vero e proprio atto di gestione qualificata. L’ente pubblico, in qualità di Titolare, deve condurre un’istruttoria preliminare per valutare l’affidabilità, le competenze tecniche e le risorse del fornitore, assicurandosi che quest’ultimo sia in grado di garantire un livello di sicurezza adeguato. Tale valutazione, che attiene a profili tecnici, organizzativi e di conformità normativa, è intrinsecamente una funzione di natura gestionale e non di indirizzo politico, un elemento che, come si vedrà, orienta in modo decisivo verso l’individuazione della competenza dirigenziale.
1.3. L’Accordo sul Trattamento dei Dati (DPA): natura, funzione ed obbligatorietà ai sensi dell’art. 28 del GDPR
Il rapporto tra Titolare e Responsabile deve essere necessariamente formalizzato attraverso uno specifico strumento giuridico. L’articolo 28, paragrafo 3, del GDPR stabilisce in modo inequivocabile che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento“. Tale atto deve essere stipulato in forma scritta, anche in formato elettronico.
La funzione di questo accordo, noto come DPA, è duplice. In primo luogo, esso serve a vincolare giuridicamente il Responsabile al rispetto di una serie di obblighi dettagliati, che il paragrafo 3 dell’articolo 28 elenca puntualmente: la materia disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del Titolare. In secondo luogo, il DPA costituisce per il Titolare il principale strumento per dimostrare la propria accountability, ossia la capacità di aver messo in atto misure adeguate per garantire la conformità del trattamento.
In assenza di un DPA valido e completo, sia il Titolare sia il soggetto che agisce come Responsabile di fatto commettono una violazione del GDPR, sanzionabile ai sensi dell’articolo 83 del GDPR.
È significativo notare la dicitura utilizzata dal legislatore europeo: “contratto o altro atto giuridico“. Questa formulazione è volutamente flessibile, per consentire l’adattamento della norma ai diversi ordinamenti giuridici degli Stati membri.
Nel contesto italiano, dove i rapporti tra una pubblica amministrazione e un fornitore di servizi esterno sono quasi invariabilmente regolati da contratti pubblici (lavori, servizi e forniture), la previsione del GDPR si inserisce con naturalezza. Il DPA può essere configurato come un contratto autonomo, collegato a quello principale, o, più frequentemente, come un allegato o una parte integrante del contratto di fornitura. Questa collocazione nell’alveo della contrattualistica pubblica è il primo e fondamentale indizio per applicare alla sua stipula le regole di competenza previste dall’ordinamento nazionale per la conclusione dei contratti dell’ente.
2. Inquadramento giuridico dell’accordo nell’Ordinamento nazionale
Una volta chiarito che il GDPR impone la stipula di un atto giuridico vincolante, è necessario qualificare tale atto all’interno dell’ordinamento italiano per poterne determinare la competenza. La sua corretta classificazione è il presupposto logico-giuridico per l’applicazione delle norme sulla ripartizione delle funzioni all’interno degli enti pubblici territoriali.
2.1. Analisi della natura giuridica: contratto di diritto privato, atto amministrativo o atto accessorio?
L’accordo ex art. 28 GDPR, sebbene nasca da un obbligo imposto da una fonte di diritto pubblico europeo, non si configura come un provvedimento amministrativo unilaterale. Un provvedimento amministrativo è, per sua natura, un atto autoritativo con cui la P.A. esercita un potere conferitole dalla legge per la cura di un interesse pubblico, producendo effetti giuridici nella sfera dei destinatari indipendentemente dal loro consenso. Al contrario, l’accordo in esame richiede per la sua validità la manifestazione di volontà e la sottoscrizione di entrambe le parti: l’ente pubblico (Titolare) e il fornitore esterno (Responsabile). Esso disciplina un rapporto paritetico, stabilendo obblighi e diritti reciproci, tipico di un negozio giuridico a struttura bilaterale.
La sua natura è, pertanto, eminentemente contrattuale. Esso rientra nella categoria dei contratti di diritto privato che la pubblica amministrazione stipula, agendo con la capacità e i poteri del privato datore di lavoro o committente, per l’acquisizione di beni e servizi. La giurisprudenza e la prassi confermano questa impostazione: i modelli di DPA utilizzati dalle amministrazioni pubbliche sono strutturati come veri e propri contratti, spesso allegati o integrati nel contratto principale di appalto di servizi (ad esempio, per la fornitura di software, servizi cloud, consulenza, ecc.). La mancata sottoscrizione dell’accordo non determina solo una violazione del GDPR, ma può essere interpretata come l’assenza stessa del negozio giuridico che dovrebbe regolare il trattamento dei dati, con conseguenze sulla validità e liceità delle operazioni svolte.
L’accordo ex art. 28 presenta dunque una natura giuridica ibrida, che è cruciale comprendere per evitare errori di inquadramento. La sua causa è pubblicistica, in quanto l’obbligo di stipularlo deriva da una norma imperativa (il GDPR) volta a tutelare un diritto fondamentale. La sua forma e la sua struttura, tuttavia, sono quelle di uno strumento di diritto privato, il contratto. Di conseguenza, la competenza a stipularlo per conto di un ente pubblico non è lasciata alla libera autonomia contrattuale, ma è rigidamente disciplinata dalle norme di diritto amministrativo che regolano l’organizzazione e l’azione dell’ente.
Ancora oggi, è frequente l’utilizzo della terminologia “Nomina a responsabile del trattamento”.
L’uso del termine “nomina” o “atto di nomina” è una consuetudine che deriva direttamente dalla normativa italiana precedente al GDPR. La figura del Responsabile del trattamento era già presente nel nostro ordinamento prima del 2018. L’articolo 29 del vecchio Codice Privacy prevedeva che il Responsabile fosse “designato dal titolare facoltativamente” e che tale designazione avvenisse tramite un atto scritto. Nella prassi operativa e giuridica, questo atto veniva comunemente chiamato “lettera di nomina” o “atto di designazione/nomina a responsabile esterno del trattamento”.
Il GDPR ha rafforzato e reso più stringenti gli obblighi legati a questa figura. Ha trasformato quella che poteva essere una designazione facoltativa in un obbligo contrattuale preciso e dettagliato. La terminologia del Regolamento Europeo è più ampia e precisa, parlando di “contratto o altro atto giuridico”, per sottolineare la natura bilaterale e vincolante dell’accordo.
2.2. La qualificazione come atto di gestione: implicazioni sulla ripartizione delle competenze
Stabilita la natura contrattuale dell’atto, il passo successivo è classificarlo all’interno della dicotomia fondamentale che governa l’azione amministrativa italiana: la distinzione tra atti di indirizzo politico-amministrativo e atti di gestione. Questa separazione, che trova il suo fondamento primario nell’articolo 97 della Costituzione e nei principi di imparzialità e buon andamento, è il cardine su cui si regge la ripartizione delle competenze tra organi di governo (politici) e dirigenza (amministrativa).
Gli atti di indirizzo politico-amministrativo sono quelli con cui gli organi di governo (Consiglio, Giunta) definiscono gli obiettivi e i programmi da attuare, fissano le priorità e allocano le risorse generali, esercitando una funzione di direzione strategica. Gli atti di gestione, al contrario, sono tutti gli atti, i provvedimenti e i contratti attraverso cui la dirigenza amministrativa dà concreta attuazione a tali indirizzi, curando gli interessi pubblici con autonomi poteri di spesa, di organizzazione e di controllo.
La stipula di un DPA rientra inequivocabilmente nella seconda categoria. Non si tratta di un atto di programmazione generale, ma di un atto esecutivo e strumentale, finalizzato a regolare un aspetto specifico di un rapporto di fornitura di servizi. Con la sua sottoscrizione, l’ente assume obblighi giuridici precisi nei confronti di un soggetto terzo (il fornitore/Responsabile) e impegna la propria responsabilità. Si tratta, pertanto, di un “atto di gestione che impegna l’amministrazione verso l’esterno”.
Questa qualificazione è il perno dell’intera analisi. Una volta stabilita, essa consente di formulare un sillogismo giuridico la cui conclusione è difficilmente contestabile:
- Premessa maggiore: nell’ordinamento degli enti pubblici territoriali italiani, tutti gli atti di gestione che impegnano l’amministrazione verso l’esterno sono di competenza esclusiva della dirigenza amministrativa.
- Premessa minore: la stipulazione di un accordo sul trattamento dei dati ai sensi dell’articolo 28 del GDPR è un atto di gestione che impegna l’amministrazione verso l’esterno.
- Conclusione: pertanto, la competenza a stipulare e sottoscrivere tale accordo spetta in via esclusiva alla dirigenza amministrativa.
Le sezioni successive saranno dedicate a dimostrare la fondatezza normativa e giurisprudenziale di questa conclusione, con specifico riferimento ai diversi tipi di ente territoriale.
3. L’analisi della competenza per gli Enti Locali
Per gli enti locali, il quadro normativo di riferimento per la ripartizione delle competenze è il Decreto Legislativo 18 agosto 2000, n. 267, “Testo unico delle leggi sull’ordinamento degli enti locali” (TUEL). L’analisi delle sue disposizioni offre una risposta chiara e diretta alla questione in esame.
3.1. Il principio cardine: la separazione tra indirizzo politico e gestione amministrativa nel D.Lgs. 267/2000 (TUEL)
Il TUEL ha recepito e codificato in modo netto il principio di separazione tra le funzioni degli organi di governo e quelle della dirigenza. L’articolo 107, comma 1, del TUEL costituisce la norma fondamentale in materia, stabilendo che gli statuti e i regolamenti degli enti locali “si uniformano al principio per cui i poteri di indirizzo e di controllo politico-amministrativo spettano agli organi di governo, mentre la gestione amministrativa, finanziaria e tecnica è attribuita ai dirigenti mediante autonomi poteri di spesa, di organizzazione delle risorse umane, strumentali e di controllo“.
Questo principio non è una mera dichiarazione di intenti, ma una regola giuridica vincolante che struttura l’intera organizzazione dell’ente. Agli organi di governo (Consiglio Comunale/Provinciale e Giunta) spetta il compito di definire il “cosa”, ovvero gli obiettivi strategici, i programmi da realizzare e le politiche pubbliche da perseguire. Alla dirigenza, invece, spetta il compito di definire il “come”, ovvero di scegliere e porre in essere gli strumenti giuridici e le operazioni materiali più idonee per raggiungere quegli obiettivi, agendo con professionalità, imparzialità ed efficienza. La stipula di un contratto, quale è il DPA, è l’esempio paradigmatico di uno strumento gestionale per l’attuazione di un servizio o di un’attività precedentemente decisa a livello di indirizzo politico.
3.2. La competenza del dirigente: un’analisi puntuale dell’art. 107 del TUEL
L’articolo 107 del TUEL non si limita a enunciare il principio generale, ma ne dettaglia le concrete attribuzioni. Il comma 2 della norma stabilisce una clausola di competenza generale e residuale per la dirigenza, affermando che “spettano ai dirigenti tutti i compiti, compresa l’adozione degli atti e provvedimenti amministrativi che impegnano l’amministrazione verso l’esterno, non ricompresi espressamente dalla legge o dallo statuto tra le funzioni di indirizzo e controllo politico-amministrativo degli organi di governo dell’ente“.
Il legislatore, per evitare ogni dubbio, ha poi provveduto a elencare, al comma 3, una serie di compiti specifici attribuiti ai dirigenti, precisando che tale elenco non è tassativo. Tra queste attribuzioni, due sono dirimenti per la nostra analisi:
- lettera b): “la responsabilità delle procedure d’appalto e di concorso”;
- lettera c): “la stipulazione dei contratti”.
La formulazione della norma è inequivocabile. La stipulazione dei contratti è una prerogativa tipica, espressamente e direttamente attribuita alla competenza dirigenziale. Poiché, come si è dimostrato, l’accordo ex art. 28 GDPR ha natura contrattuale e impegna l’amministrazione verso l’esterno, la sua sottoscrizione rientra a pieno titolo nelle funzioni del dirigente del settore competente per la materia del contratto principale (ad esempio, il dirigente del settore Sistemi Informativi se il DPA è accessorio a un contratto di fornitura software; il dirigente del settore Risorse Umane se riguarda il servizio di elaborazione stipendi; il dirigente del settore Contratti e Appalti se l’ente ha una struttura centralizzata).
La competenza dirigenziale in materia è, inoltre, “esclusiva”. Il comma 6 dello stesso articolo 107 sancisce che i dirigenti sono “direttamente responsabili, in via esclusiva, in relazione agli obiettivi dell’ente, della correttezza amministrativa, della efficienza e dei risultati della gestione“. Ciò significa che un organo di governo che si arrogasse il potere di stipulare un DPA porrebbe in essere un atto viziato da incompetenza, in quanto invaderebbe una sfera di attribuzioni che la legge riserva a un altro organo. Le competenze degli organi di governo, infatti, sono tassativamente elencate dalla legge (si veda, ad esempio, l’articolo 42 del TUEL per le competenze del Consiglio) e tra di esse non figura la stipulazione di contratti di gestione.
3.3. La casistica degli Enti privi di dirigenza: il ruolo dei Responsabili di servizio e del Segretario Comunale
L’ordinamento è consapevole che non tutti gli enti locali, specialmente quelli di minori dimensioni, sono dotati di una qualifica dirigenziale in senso formale. Tuttavia, il principio di separazione tra politica e gestione non viene meno. La legge prevede meccanismi per assicurare che le funzioni gestionali siano comunque esercitate da figure tecnico-amministrative.
In base all’articolo 109, comma 2, del TUEL, nei comuni privi di personale con qualifica dirigenziale, le funzioni di cui all’articolo 107 sono attribuite ai responsabili degli uffici e dei servizi, indipendentemente dalla loro qualifica funzionale. Tali figure, spesso inquadrate come “Posizioni Organizzative”, pur non essendo dirigenti di ruolo, esercitano le medesime competenze gestionali, inclusa la stipulazione dei contratti e l’adozione di atti che impegnano l’ente verso l’esterno. Pertanto, in un ente di questo tipo, la competenza alla firma del DPA spetterà al responsabile del servizio competente per materia.
In alternativa, o in via concorrente per specifici settori, lo statuto o i regolamenti dell’ente possono prevedere che le funzioni gestionali siano conferite al Segretario Comunale o Provinciale. L’articolo 97, comma 4, lettera d), del TUEL prevede infatti che il segretario “esercita ogni altra funzione attribuitagli dallo statuto o dai regolamenti, o conferitagli dal sindaco o dal presidente della provincia“. La giurisprudenza amministrativa ha costantemente confermato la legittimità di tale attribuzione di compiti gestionali al segretario, specialmente in contesti organizzativi di dimensioni ridotte.
Anche in questi enti, dunque, la competenza rimane saldamente incardinata nell’apparato amministrativo-burocratico. La questione si sposta dall’alternativa “organo politico vs. dirigente” a quella, interna all’organizzazione, “responsabile di servizio vs. segretario”, la cui soluzione dipende dalle specifiche previsioni del regolamento sull’ordinamento degli uffici e dei servizi di ciascun ente.
3.4. L’ipotesi Eccezionale nei Comuni con popolazione Inferiore a 5.000 abitanti
Esiste un’unica, circoscritta eccezione al principio di separazione. L’articolo 53, comma 23, della Legge 23 dicembre 2000, n. 388 (Legge finanziaria 2001), ha introdotto una specifica deroga per i comuni con popolazione inferiore ai 5.000 abitanti. Tale norma consente a questi enti di prevedere, tramite apposita disposizione del regolamento sull’ordinamento degli uffici e dei servizi, che la responsabilità degli uffici e dei servizi, con i connessi poteri gestionali, sia attribuita a componenti dell’organo esecutivo, ovvero al Sindaco o a un Assessore.
È fondamentale sottolineare la natura eccezionale e derogatoria di questa disposizione, che come tale deve essere interpretata in modo restrittivo. L’attribuzione di competenze gestionali all’organo politico è possibile solo al ricorrere di tutte le seguenti condizioni:
- l’ente deve avere una popolazione inferiore a 5.000 abitanti.
- deve esistere una specifica e inequivocabile previsione nel regolamento sull’ordinamento degli uffici e dei servizi, adottato dal Consiglio Comunale.
- l’ente non deve aver già attribuito tali funzioni al Segretario Comunale ai sensi dell’art. 97, comma 4, lett. d) del TUEL.
Solo in presenza di queste tre condizioni, il Sindaco o un Assessore possono legittimamente sottoscrivere un DPA. L’esistenza stessa di questa norma speciale conferma, a contrario, la regola generale: se non fosse esistita una rigida separazione di competenze, non vi sarebbe stato alcun bisogno di una legge per introdurvi una deroga così specifica e limitata. Per tutti gli altri enti locali, l’invasione della sfera gestionale da parte dell’organo politico costituisce un vizio di incompetenza dell’atto.
4. Ricognizione di giurisprudenza e prassi delle Autorità
L’interpretazione normativa fin qui esposta trova solido e costante conforto sia nella giurisprudenza dei tribunali amministrativi sia negli orientamenti, seppur indiretti, delle autorità preposte alla protezione dei dati.
4.1. Orientamenti della giurisprudenza amministrativa sulla competenza gestionale e contrattuale dei dirigenti
La giurisprudenza del Consiglio di Stato ha, da decenni, consolidato un orientamento univoco nell’affermare la competenza esclusiva della dirigenza in materia di gestione delle procedure di gara e di stipulazione dei contratti. Una pronuncia fondamentale, sebbene antecedente all’attuale TUEL, è la sentenza della Sezione V, 26 gennaio 1999, n. 64, la quale ha statuito che l’approvazione del contratto concluso da un ente locale non compete alla Giunta, bensì ai dirigenti. I principi affermati in tale decisione sono stati poi pienamente recepiti e codificati dal legislatore nell’articolo 107 del TUEL.
Questa linea interpretativa è stata costantemente ribadita anche in epoca più recente. La giurisprudenza amministrativa ha chiarito che l’intera gestione delle procedure d’appalto, dall’indizione della gara fino all’aggiudicazione definitiva e alla successiva stipula del contratto, rientra nella sfera della gestione amministrativa attribuita ai dirigenti. Anche le norme più recenti, come quelle del Codice dei Contratti Pubblici, che disciplinano la figura del Responsabile Unico del Procedimento (RUP), vengono lette e coordinate con il principio fondamentale della responsabilità dirigenziale sancito dal TUEL. Il dirigente mantiene un potere-dovere di direzione e, se del caso, di sostituzione rispetto al RUP, e rimane il soggetto titolare del potere di adottare i provvedimenti finali che impegnano l’amministrazione, come l’aggiudicazione e la firma del contratto.
Questo consolidato orientamento giurisprudenziale fornisce la massima garanzia di certezza giuridica. Qualsiasi prassi difforme, che veda un organo politico sottoscrivere un DPA o un qualsiasi altro contratto di gestione, si esporrebbe a un fondato rischio di annullamento in sede giurisdizionale per vizio di incompetenza.
4.2. Indicazioni interpretative delle Autorità di protezione dei dati (Garante per la protezione dei dati personali e EDPB)
Le autorità di protezione dei dati, come il Garante italiano e l’EDPB, non hanno una competenza diretta a pronunciarsi sulla ripartizione delle funzioni all’interno delle pubbliche amministrazioni degli Stati membri. Tuttavia, i loro documenti e le loro linee guida offrono spunti interpretativi che rafforzano indirettamente le conclusioni raggiunte.
L’EDPB, nelle sue Linee Guida 07/2020, sottolinea che l’accordo ex art. 28 deve essere un atto giuridico vincolante e completo, che non si limiti a riprodurre il testo del Regolamento ma contenga “informazioni più specifiche e concrete” su come i requisiti verranno soddisfatti. Questa enfasi sulla concretezza e sul dettaglio tecnico-operativo dell’accordo lo qualifica ulteriormente come un documento la cui redazione e approvazione richiedono competenze gestionali e tecniche, piuttosto che un indirizzo politico.
Inoltre, il focus costante dell’EDPB e del GDPR sul principio di accountability del Titolare, che rimane pienamente responsabile per le violazioni commesse dai suoi Responsabili e sub-Responsabili , evidenzia come il DPA sia uno strumento cruciale di gestione del rischio. La responsabilità per la corretta gestione amministrativa, finanziaria e per i risultati, che include la mitigazione dei rischi legali per l’ente, è, nell’ordinamento italiano, pacificamente attribuita alla dirigenza. Pertanto, la figura che per legge è responsabile della gestione dei rischi è anche quella logicamente e giuridicamente deputata a stipulare gli strumenti contrattuali volti a presidiare tali rischi.
Il Garante per la protezione dei dati personali, nei suoi provvedimenti e documenti di indirizzo rivolti al settore pubblico, pur concentrandosi su aspetti diversi (come la designazione del Responsabile della Protezione dei Dati – DPO), assume costantemente come presupposto che il Titolare sia l’ente nel suo complesso e che l’attuazione degli obblighi del GDPR sia una questione di organizzazione interna, da risolvere secondo le norme proprie di ciascuna amministrazione.
Conclusioni
L’analisi condotta attraverso la lente congiunta del diritto europeo della protezione dei dati e del diritto amministrativo nazionale conduce a una conclusione univoca e giuridicamente fondata. La competenza a stipulare e sottoscrivere, per conto degli enti pubblici territoriali italiani, l’accordo sul trattamento dei dati personali ai sensi dell’articolo 28 del GDPR spetta, in via generale ed esclusiva, alla dirigenza amministrativa.
Questa conclusione si basa su un percorso argomentativo lineare:
- l’accordo ex art. 28 GDPR è un atto di natura contrattuale che impegna l’amministrazione verso l’esterno.
- la stipulazione di contratti e l’adozione di atti di gestione esterna rientrano, nell’ordinamento italiano, nella sfera della gestione amministrativa.
- il principio di separazione tra indirizzo politico e gestione amministrativa, sancito a livello costituzionale e codificato nel TUEL (art. 107) e nelle leggi regionali, attribuisce la gestione in via esclusiva alla dirigenza.
Pertanto, negli enti dotati di qualifica dirigenziale, la competenza è del dirigente del settore interessato. Negli enti che ne sono privi, tale competenza si trasferisce sulla figura che, secondo l’ordinamento interno, esercita le funzioni gestionali, ovvero il responsabile di servizio o, se previsto, il Segretario Comunale/Provinciale.
L’unica eccezione a questa regola generale è rappresentata dalla specifica deroga prevista per i Comuni con meno di 5.000 abitanti, i quali, a condizione di averlo espressamente disciplinato nel proprio regolamento, possono attribuire tale competenza al Sindaco o a un Assessore.
Si raccomanda fermamente agli enti di conformarsi a questa ripartizione di competenze. La prassi, talvolta riscontrata, di far sottoscrivere tali accordi agli organi di governo (Sindaco, Presidente di Regione o Provincia, Assessori) al di fuori dei casi eccezionali normativamente previsti, è illegittima. Tale prassi espone l’atto al vizio di incompetenza, che ne determina l’annullabilità, e può configurare profili di responsabilità per l’organo che ha agito al di fuori delle proprie attribuzioni. La corretta individuazione della competenza non è solo un adempimento formale, ma una garanzia di legittimità dell’azione amministrativa e un presupposto essenziale per una corretta ed efficace attuazione del principio di accountability richiesto dal GDPR.