Autorità pubblica e organismo pubblico nel Regolamento UE 2016/679 tra dubbi e incauti rimandi

The Regulation (EU) 2016/679 (also known as General Data Protection Regulation or “GDPR”), in defining a framework of rules for the protection of personal data, establishes the obligation to designate the Data Protection Officer (DPO) in three specific cases and, among these, when the processing of personal data is carried out by a public authority or a public body. Starting from the provisions of art. 37, par. 1, lett. a) GDPR, the paper investigates the meaning to be attributed to the expressions “public authority” and “public body”. The author points out the lackness of a specific provision and analyzes the ratio of art. 37 GDPR, goes so far as to say that the expressions should be investigated in a dynamic and substantial perspective, looking at the nature of the interests pursued by the entity and not, instead, at its legal form. Therefore, the list of obliged subjects – for which it is not only suggested, but it is mandatory to designate the DPO – should be reconstructed in an extensive key, as including all those entities that exercise public functions and, consequently, they hold the same supremacy position towards the data subjects.

Il Regolamento UE 2016/679, nel definire un framework di regole per la protezione dei dati personali, sancisce l’obbligo di designazione del Data Protection Officer (DPO) in tre specifiche ipotesi e, tra queste, allorché i trattamenti dei dati personali siano effettuati da un’Autorità pubblica o da un organismo pubblico. Muovendo dal disposto di cui all’art. 37, par. 1, lett. a) GDPR, il contributo indaga il significato da attribuirsi alle espressioni “Autorità pubblica” e “organismo pubblico”, al fine di individuare l’addentellato normativo o, in assenza, il criterio che permetta all’interprete – in primis ai titolari dei trattamenti – di discernere quando un ente, quand’anche rivesta forma privatistica, presenti caratteri pubblicistici tali da dover essere qualificato quale organismo pubblico, sì che su di esso gravi un obbligo di designazione del DPO. L’Autrice, rilevata l’assenza di una disposizione specifica e indagata la ratio dell’art. 37 GDPR, giunge ad affermare che le espressioni de quibus, lungi dal potere essere riempite di senso attraverso le definizioni contenute in altri settori (e, nella specie, nella direttiva 2003/98/CE in materia di riutilizzo dei dati pubblici) vanno indagate in ottica dinamica e sostanziale, guardando alla natura degli interessi perseguiti dall’ente e non, invece, alla sua natura giuridica, sì da eliminare (o, quantomeno, ridurre) il rischio che un mutamento della veste giuridica possa giustificare l’applicazione di un diverso regime rispetto ad enti che ricoprono, in considerazione dell’esercizio di pubbliche potestà, una medesima posizione di supremazia nei confronti degli interessati.