Il Regolamento generale sulla protezione dei dati, Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito solo RGPD) che abroga la direttiva 95/46/CE, la cui efficacia sarà pienamente in vigore a partire dal 25 maggio 2018, offre un nuovo ordito nella normativa per la protezione dei dati nell’Unione, su cui sarà indispensabile che gli enti pubblici e le aziende inizino a lavorare, per non rischiare di trovarsi in ritardo con la prossima scadenza.
Il RGDP ha introdotto una nuova figura, denominata Data Protection Officer, secondo l’acronimo inglese DPO, o, in italiano, RDP – Responsabile della protezione dei dati, acronimi con cui sarà indispensabile entrare in breve tempo in confidenza: alcuni titolari del trattamento saranno obbligati a individuare e nominare tale nuova figura nell’ambito (o all’esterno) della propria struttura organizzativa.
Ciò vale – lo anticipiamo subito – per tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili).
La nomina di un RDP, anche laddove non obbligatoria, è largamente caldeggiata dal legislatore europeo e dal Gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali, appositamente istituito, che ha emanato specifiche linee guida. La nomina di un RDP, in questo caso, potrà essere una misura di sicurezza che il titolare del trattamento potrà scegliere di applicare, in quanto figura dotata di particolare formazione ed esperienza in materia, che dunque coadiuva in maniera specifica il titolare del trattamento nel rispetto della normativa di riferimento e del regolamento generale sulla protezione dei dati.
I RPD, oltre a favorire l’osservanza della normativa supportando il titolare o svolgendo valutazioni di impatto e audit in materia di protezione dei dati, fungono da interfaccia fra tutti i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.
Punto fondamentale della novità normativa è che i RPD non rispondono personalmente in caso di inosservanza del RGPD. L’onere di assicurare il rispetto della normativa in materia di protezione dei dati, infatti, ricade sempre e comunque sul titolare o sul responsabile del trattamento.
Inoltre, al titolare o al responsabile del trattamento spetta il compito fondamentale di consentire lo svolgimento efficace dei compiti cui il RPD è preposto, in piena autonomia e con risorse – economiche, materiali ed umane – sufficienti a svolgere in modo efficace i compiti cui è chiamato.
Ma andiamo per ordine.
Ambito di applicazione
In base all’articolo 37 del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, è di fondamentale importanza che titolari e responsabili documentino le valutazioni compiute all’interno dell’azienda per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.
a) enti pubblici
Tra le raccomandazioni fornite dal Gruppo europeo di lavoro, con riferimento agli enti pubblici o soggetti ad essi equiparabili a tale fine, è stata sin d’ora espressa – in un ambito che avrebbe lasciato certamente ampi dubbi sull’interpretazione del concetto di ente pubblico o organismo pubblico – quella relativa alla buona prassi di nominare un RDP anche per gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri.
Per quanto riguarda l’obbligo di nomina di un RPD, l’art. 37 non distingue fra titolari e responsabili del trattamento in termini di sua applicabilità. A seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare ovvero il solo responsabile, oppure sia l’uno sia l’altro a dover nominare un RPD; questi ultimi saranno poi tenuti alla reciproca collaborazione.
Vale la pena di evidenziare che anche qualora il titolare sia tenuto, in base ai criteri suddetti, a nominare un RPD, il suo eventuale responsabile del trattamento non è detto sia egualmente tenuto a procedere a tale nomina – che però può costituire una buona prassi. E viceversa.
Si raccomanda, da parte del Gruppo di lavoro, come buona prassi, che il RPD nominato da un soggetto responsabile del trattamento vigili anche sulle attività svolte da tale soggetto quando operi in qualità di autonomo titolare del trattamento.
E’ ammessa la designazione di un unico RPD per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Poiché il RPD è chiamato a una molteplicità di funzioni, il titolare deve assicurarsi che un unico RPD sia in grado di adempiere in modo efficiente a tali funzioni anche se designato da una molteplicità di autorità e organismi pubblici.
b) altri soggetti obbligati
Con riferimento al secondo gruppo di soggetti tenuti alla nomina di un RDP, all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, che concerne le “attività principali del titolare del trattamento o del responsabile del trattamento”, è stato chiarito che le attività principali di un titolare del trattamento sono quelle che “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.
Tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile.
L’esempio fatto al Gruppo di lavoro è il seguente: l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale, e che gli ospedali sono tenuti a nominare un RPD.
Altro esempio effettuato dal Gruppo di Lavoro, a titolo di ulteriore esemplificazione, è stato quello di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un RPD.
Viceversa, l’attività di trattamento dati per il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, sono certamente trattamenti di dati per attività di supporto all’attività principale, ma pur essendo necessarie o essenziali, sono da considerarsi accessorie, e non vengono considerate attività principali.
Il concetto di ‘larga scala’
In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su ‘larga scala’ per far scattare l’obbligo di nomina di un RPD. E’ chiaro che il concetto di ‘larga scala’, del tutto generico e privo di riferimento numerico o comunque oggettivo, mostra il fianco a dubbi, dissidi ed interpretazioni. Tali trattamenti devono intendersi come quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Espressamente è precisato che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
E’ evidente che le considerazioni circa le molteplici zone ‘grigie’ che sicuramente esistono tra il trattamento del professionista ‘singolo’ ed il trattamento ‘su larga scala’ vengono, per il momento, lasciate all’elaborazione dottrinaria e giurisprudenziale futura.
Si deve, in ogni caso, tener conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.
Certamente rientrano in casi di trattamento su larga scala (si riportano gli esempi richiamati nelle citate Linee guida): trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività; trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività; trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Il “monitoraggio regolare e sistematico”
Rientrano poi, nel concetto di “Monitoraggio regolare e sistematico” senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E’, infatti, chiarito che per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
Tuttavia, occorre evidenziare che il tracciamento online è solo uno dei possibili casi di monitoraggio: esso non trova applicazione solo con riguardo al web.
L’aggettivo “regolare” ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia.
Alcune esemplificazioni riportate dalle Linee Guida: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.
Qualità ed obblighi del RDP ai fini della nomina
Il RPD è vincolato al segreto e alla riservatezza nell’esercizio delle proprie funzioni, conformemente al diritto nazionale e dell’Ue; tuttavia, gli obblighi di segreto e riservatezza non impediscono al RPD di contattare l’Autorità di controllo per fini di consulenza.
Il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Il livello di conoscenza specialistica richiesto tuttavia, non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Ne consegue la necessità di una particolare attenzione nella scelta del RPD, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi.
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD. Sono certamente qualità indispensabili la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. Proficua anche la promozione di una formazione adeguata e continua rivolta ai RPD da parte delle Autorità di controllo.
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare (per esempio, in ambito pubblicistico); inoltre, il RPD dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
Per ‘capacità di assolvere i propri compiti’ si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del RPD, sia quanto dipende dalla posizione del RPD all’interno dell’azienda o dell’organismo.
Le qualità personali dovrebbero comprendere, per esempio, l’integrità morale ed elevati standard deontologici; il RPD deve perseguire in via primaria l’osservanza delle disposizioni del RGPD.
Il RPD svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda e contribuisce a dare attuazione a elementi essenziali del regolamento, quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.
La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. Trattandosi di persona giuridica, è indispensabile che ciascun soggetto appartenente alla persona giuridica operante quale RPD soddisfi tutti i requisiti; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal RGPD: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto RPD, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di RPD. Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente.
Poteri e funzioni del RDP
Ai sensi dell’articolo 38 del RGPD, il titolare e il responsabile assicurano che il RPD sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.
E’ essenziale che il RPD sia coinvolto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il regolamento prevede espressamente che il RPD vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. La normalità nell’ambito della struttura dovrebbe essere un approccio che assicuri sempre il tempestivo e immediato coinvolgimento del RPD, tramite la sua informazione e consultazione fin dalle fasi iniziali. Ciò faciliterà l’osservanza del RGPD e il rispetto del principio di privacy e protezione dati fin dalla fase di progettazione.
Inoltre, è importante che il RPD sia annoverato fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento. Appare fondamentale, ancora, la comunicazione ufficiale della nomina del RPD a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda.
Ciò significa che occorrerà garantire, per esempio: che il RPD sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello; la presenza del RPD ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati; che il parere del RPD riceva sempre la dovuta considerazione; che il RPD sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
In caso di disaccordi, il Gruppo di Lavoro raccomanda, quale buona prassi, a parere di chi scrive assolutamente da seguire, quella di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal RPD.
Importantissimo sottolineare che il RGPD obbliga il titolare o il responsabile a sostenere il RPD “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”. Ciò, al fine di non vanificare, di fatto, i poteri conferiti e non trasformare tale nomina in un mero adempimento burocratico.
Tale principio si traduce, in modo particolare, nelle indicazioni seguenti: supporto attivo delle funzioni del RPD da parte del management; tempo sufficiente per l’espletamento dei compiti affidati al RPD (ciò riveste particolare importanza se il RPD viene designato con un contratto part-time, oppure se il dipendente si occupa di protezione dati oltre a svolgere altre incombenze. In caso contrario, il rischio è che le attività cui il RPD è chiamato finiscano per essere trascurate a causa di conflitti con altre priorità. Una prassi da raccomandare consiste nel definire la percentuale del tempo lavorativo destinata alle attività di RPD quando quest’ultimo svolga anche altre funzioni. Un’altra buona prassi consiste nello stabilire il tempo necessario per adempiere alle relative incombenze, definire il livello di priorità spettante a tale incombenze, e prevedere che il RPD stesso rediga un piano di lavoro). E’ indispensabile, inoltre, che sia fornito un supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale; si ripete, essenziale appare la comunicazione ufficiale della nomina del RPD a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note a tutti; accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al RPD supporto, informazioni e input essenziali; formazione permanente. I RPD dovrebbero avere la possibilità di curare il proprio aggiornamento, al fine di consentire un incremento continuo del livello di competenze; dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione.
Inoltre, alla luce delle dimensioni e della struttura della singola azienda / organismo, può risultare necessario costituire un ufficio o un gruppo di lavoro RPD (formato dal RPD stesso e dal personale a sua disposizione). In casi del genere, è opportuno definire con precisione la struttura interna del gruppo di lavoro nonché i compiti e le responsabilità individuali. Analogamente, se la funzione di RPD viene esercitata da un fornitore di servizi esterno all’azienda, potrà aversi la costituzione di un gruppo di lavoro formato da soggetti operanti per conto di tale fornitore e incaricati di svolgere le funzioni di RPD sotto la direzione di un responsabile che funga da contatto per il cliente.
In linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD.
Garanzie del RDP, tra realtà ed utopia
L’articolo 38, terzo paragrafo, fissa alcune garanzie essenziali per consentire ai RPD di operare con un grado sufficiente di autonomia ed indipendenza. In particolare, il titolare è tenuto ad assicurare che il RPD “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Inoltre, i RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Ciò significa che il RPD, nell’esecuzione dei compiti attribuitigli, non deve ricevere istruzioni sull’approccio da seguire, nè sui risultati attesi; deve avere perfetta autonomia sulle modalità di conduzione degli accertamenti; non deve ricevere indicazioni sulla scelta di consultare o meno l’autorità di controllo. Inoltre, non deve ricevere istruzioni sull’interpretazione da dare a una specifica questione. E’ evidente il rischio che tali disposizioni rischino di tramutarsi, nella realtà, in mere affermazioni di principio.
Tuttavia, è bene ribadire un concetto importante, che serve, d’altro canto, a bilanciare l’importanza ed il ruolo del RDP, nell’ambito delle responsabilità del titolare: l’autonomia del RPD non implica che egli possa agire con autonomia decisionale, al di là di quanto consentito nell’articolo 39. Il titolare o il responsabile mantengono su di sé la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati, ragion per cui dovrebbero avere – proprio al fine di tutelare se stessi – tutto l’interesse a che il RDP svolga le funzioni attribuitegli con la massima autonomia e con tutte le proprie capacità.
In ogni caso, se il titolare o il responsabile assumono decisioni incompatibili con le indicazioni fornite dal RPD, quest’ultimo deve avere la possibilità di manifestare il proprio dissenso.
L’articolo 38, terzo paragrafo, prevede, inoltre, che il RPD “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”.
Vi è un divieto, in altri termini, di licenziare o sanzionare il RDP, letteralmente ‘per l’adempimento dei propri compiti’. Tale prescrizione, che mira, chiaramente, a potenziare l’autonomia del RPD e ad assicurarne l’indipendenza, sarà, con ogni probabilità ed a lungo andare, fonte di nutrito contenzioso in caso di licenziamento / scioglimento del rapporto di lavoro / collaborazione che lega il titolare o il responsabile con il RDP.
Il divieto di licenziamento / penalizzazioni menzionato si applica solo con riguardo a quelle penalizzazioni eventualmente derivanti dallo svolgimento dei compiti propri del RPD. Per esempio, un RPD può ritenere che un determinato trattamento comporti un rischio elevato e quindi raccomandare al titolare di condurre una valutazione di impatto, ma questi ultimi non concordano con la valutazione del RPD. Ancor più gravemente: il RDP potrebbe voler consultare l’autorità di controllo su una determinata questione, ed il titolare potrebbe essere fermamente contrario. In casi del genere, il RPD non può essere rimosso dall’incarico per avere agito in autonomia.
Le penalizzazioni potrebbero assumere molte forme: a solo titolo di esempio, potrebbe trattarsi di mancata o ritardata promozione, di mancata concessione di incentivi rispetto ad altri dipendenti, o altro. E’ chiaro che anche solo la minaccia della penalizzazione in rapporto alle attività svolte dal RDP, implica già di per sé – ovviamente se dimostrata, nell’ambito della normale distribuzione dell’onere probatorio – violazione della norma.
Viceversa, ed in conformità a quanto previsto dalle normali regole di diritto penale e del lavoro, applicabili a ogni altro dipendente o fornitore, è sempre possibile interrompere il rapporto con il RPD per motivazioni che esulano dallo svolgimento dei compiti che gli sono propri: per esempio, in caso di furto, molestie, ovvero gravi inadempimenti o violazioni deontologiche.
Certo è che il margine di indeterminatezza che lascia la norma implica la possibilità, in caso di licenziamento – ad esempio – per una reale incapacità, ritenuta dal titolare, del RDP nello svolgimento delle sue mansioni, di vedere facilmente adito il Giudice competente da parte dello stesso RDP, al fine di ottenere l’annullamento del subìto licenziamento o atto equivalente. La volontà del legislatore europeo, chiaramente espressa in questa norma, di tutelare il RDP nello svolgimento delle sue funzioni, lascia aperto un punto interrogativo e rischia, nella prassi, di comportare, come altra faccia della medaglia, una quasi inviolabilità ed intoccabilità del RDP dal suo ruolo, non potendo egli, come detto, essere rimosso o penalizzato ‘per l’adempimento dei propri compiti’.
