Garantire che siano sempre chiari i ruoli e le responsabilità dei diversi soggetti che intervengono in un trattamento o in un complesso di trattamenti è una delle prerogative del Regolamento europeo per la protezione dei dati personali. Ma non tutti, quando si tratta di decidere sui cosiddetti “ruoli” privacy, apprezzano o comprendono la necessità di percorrere, a volte, una strada diversa rispetto a quella “ordinaria” titolare/responsabile.
Responsabili e “irresponsabili” del trattamento
Il bello del GDPR è che ha talmente tanti argomenti su cui discutere, che difficilmente ci si potrà annoiare ancora per un po’ di tempo. Se poi non ci si limita a parlarne in teoria, ma lo si affronta nella quotidianità della vita aziendale, allora si scoprono anche tanti risvolti che i “teorici del GDPR” non riescono malauguratamente a vedere. Non sarà “fair” dirlo, ma oltre che studiare, il professionista ha l’obbligo (etico e non) di dare ai propri clienti delle risposte concrete e soprattutto tali da non rappresentare un ostacolo all’andamento del loro business.
In quest’ottica, mi è molto piaciuta la provocazione del collega, Stefano Gazzella, che in un post del suo blog del 20 luglio scorso (“Privacy by Dadaism – Irresponsabile del trattamento”) ha parlato degli irresponsabili del trattamento (“essere GDPReady è evitare contratti un po’ troppo dada per i responsabili”). In effetti, “più sostanza, maggiori riferimenti al contesto e un po’ meno formalismi” sarebbe, anche a mio avviso, il principio a cui bisognerebbe sempre attenersi nel momento in cui si deve stabilire quale sia la “struttura/organigramma privacy” in cui opera un soggetto che effettua il trattamento di dati personali nell’ambito della propria attività.
Il Titolare del trattamento, obblighi e responsabilità
Il nuovo Regolamento ha apportato alcune importanti novità riguardo ai cosiddetti “ruoli” privacy, facendo emergere l’esigenza di cogliere i cambiamenti avvenuti in un’ottica pratica di adeguamento. Le modifiche normative introdotte dal Regolamento possono infatti alterare gli schemi di governance in essere, oltre che le linee di riporto interne agli stessi titolari.
E’, quindi, importante illustrare brevemente quali ruoli privacy siano stati previsti dal GDPR ed in che modo lo stesso attribuisce obblighi e responsabilità. All’articolo 4, comma 7, GDPR viene definito come “Titolare del trattamento dei dati” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato.
In altri termini, Titolare è colui il quale stabilisce le modalità e il motivo della raccolta dati, nonché in concreto quali dati saranno raccolti, elaborati e chi ne avrà accesso. Nel settore pubblico e nel caso di persone giuridiche, Titolare del trattamento è l’ente o la persona giuridica nel suo complesso, anziché il singolo organo decisionale, piuttosto che taluna delle persone fisiche che operano al suo interno determinandone la volontà (anche questo concetto, peraltro, sembra essere di difficile comprensione da parte di molti, che identificano semplicemente il titolare con il legale rappresentante); fra i doveri in capo ai Titolari pubblici spiccano la designazione del responsabile della protezione dei dati (articolo 37, GDPR) e la tenuta dei registri delle attività di trattamento (articolo 30, GDPR).
Secondo il principio di responsabilizzazione del Titolare, questi è tenuto all’ottemperanza degli obblighi previsti dalla normativa europea, garantendo che le misure tecniche ed organizzative adottate siano adeguate al rispetto della stessa. Nello specifico, fra gli obblighi rientrano la consegna all’interessato di un’informativa conforme alle previsioni contenute all’articolo 13, GDPR, e la messa a punto di un’ organizzazione societaria che permetta agli interessati il libero esercizio dei loro diritti, così come previsti dagli articoli 15 – 22, GDPR.
E’ altresi tenuto a mettere in atto adeguate misure tecniche ed organizzative, sulla base di una valutazione dei rischi legati al trattamento, ai costi, alla natura ed alle finalità dello stesso, in modo da garantire la sicurezza nel trattamento dei dati personali sin dalla prima fase di progettazione, nel rispetto dei principi di accountability e minimizzazione dell’utilizzo dei dati (privacy by design e by default). Inoltre, ai sensi degli articoli 33 e 34, GDPR, in caso di violazione dei dati personali, il Titolare ha l’obbligo di mettere in atto le contromisure adeguate per contrastare eventuali danni e a darne comunicazione al Garante ed all’interessato, quando necessario.
Il Responsabile del trattamento, obblighi e responsabilità
Proprio in tema di identificazione dei ruoli privacy (o meglio dei soggetti attivi in ambito GDPR), la Circolare n. 1150 – Prot. 7738/U/CIRC del 23 Luglio 2018, del Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro ha sollevato un gran polverone di commenti e contestazioni durante la canicola dell’estate 2018; la circolare ha ritenuto, infatti, di considerare il consulente del lavoro co-titolare del trattamento dei dati del proprio cliente (facendo discendere tale posizione dal mandato professionale assunto per la gestione dei rapporti di lavoro), piuttosto che “mero” responsabile del trattamento, comportando in tale ultimo caso un significativo assoggettamento del consulente alle direttive del cliente-titolare e, dunque la gestione per suo conto del trattamento dei dati personali all’interno della sua azienda.
In questa sede, non si vuole riaprire il dibattito sul ruolo privacy del consulente del lavoro (o di altri professionisti), ma attirare l’attenzione sul fatto che, a pochi mesi dalla piena efficacia del GDPR, i consulenti privacy stanno già dando per “scontato” che – laddove vi siano contratti di appalti di servizi, mandati, fornitura in genere, o contratti similari che implichino flussi/trattamenti di dati personali – il “committente/titolare originario” debba comunque procedere alla nomina dell’“appaltatore/mandatario/fornitore” come responsabile del trattamento.
Sappiamo infatti che, ex articolo 4 del GDPR, il Responsabile è definito come la persona fisica o giuridica, l’Autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare. Requisito per la nomina è che il Responsabile presenti garanzie sufficienti per mettere in atto misure e tecniche tali da soddisfare le previsioni del GDPR, garantendo la protezione dei diritti degli interessati. Scompare la figura del Responsabile “interno”, così come disciplinato dall’articolo 29 del Codice Privacy (nella versione abrogata), essendo la materia oggi disciplinata dal solo articolo 28, GDPR, che indica come tale il soggetto o la struttura esterna che tratta dati personali per conto del Titolare. Dai suoi compiti esula, dunque, la determinazione dei mezzi e delle finalità del trattamento dei dati.
Il Data Protection Agreement (DPA)
Al contrario, agisce soltanto su istruzione del Titolare ed in base all’accordo attraverso il quale viene nominato (“Data Protection Agreement”, “DPA”). Il DPA disciplina l’esecuzione dei compiti da parte del Responsabile, dovendo contenere indicazioni riguardanti quantomeno le materie indicate al comma 3 dell’articolo 28, GDPR, fra le quali compaiono la natura, la durata e le finalità del trattamento, la tipologia dei dati oggetto del trattamento, le misure tecniche e organizzative adeguate e necessarie ad assicurare il rispetto delle indicazioni ricevute dal Titolare. Il DPA ha lo scopo di ripartire in modo chiaro i compiti e le responsabilità fra i vari soggetti attivi del trattamento dati, così come suggerito anche dal Considerando 79.
Attenti alle incognite della via più semplice
L’esperienza maturata sul campo come consulente legale e come DPO mi porta a suggerire di fare molta, molta attenzione a non (far) scegliere alle imprese sempre e comunque la via apparentemente più semplice, utilizzando modelli di contratti di nomina a responsabile, più o meno standardizzati e riportanti quasi integralmente la disciplina dettata dal GDPR in tema di responsabile del trattamento, Tant’è che lo stesso GDPR (art. 28, par. 10) afferma che, qualora nella pratica il responsabile faccia proprie le finalità ed i mezzi del trattamento, viene di fatto considerato come titolare, determinando l’applicazione delle disposizioni relative.
Titolari autonomi e contitolari del trattamento
Piuttosto, prima di decidere che ruolo privacy deve essere assunto da colui che effettua trattamenti di dati personali per effetto di un sottostante rapporto contrattuale, che comporti l’esecuzione di servizi per conto di un altro soggetto, ritengo sia quantomeno doveroso esaminare concretamente la natura e le caratteristiche tipiche dell’attività imprenditoriale svolta dal soggetto in questione, in conformità sia agli accordi contrattuali in essere, sia alle eventuali previsioni normative applicabili a ciascun settore di riferimento. Così facendo, forse, si arriva a delineare una struttura privacy, non necessariamente coincidente con quella di titolare / responsabile, ma alternativamente di:
- titolare autonomo – titolare autonomo
- contitolari: è noto che, secondo l’articolo 26, GDPR, due o più Titolari del trattamento possono determinare congiuntamente le finalità e i mezzi del trattamento. In tale caso, essi sono chiamati a specificare in modo chiaro, mediante un accordo interno, il rispettivo ambito di responsabilità. L’accordo deve essere messo a disposizione dell’interessato e deve riflettere i ruoli reciproci assieme alla ripartizione degli obblighi previsti dal GDPR.
Ovviamente, nell’ipotesi della contitolarità, la responsabilità è aggravata rispetto alle altre tipologie di rapporto privacy, per il fatto che l’art. 82 comma 2, GDPR, precisa che: “un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento […]” mentre “un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del […] regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.” Inoltre, ai sensi del successivo comma 4, GDPR: “Qualora più titolari del trattamento […] siano coinvolti nello stesso trattamento […] ogni titolare del trattamento […] è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. “
Titolari autonomi: ripartizione di doveri, obblighi e responsabilità
Voglio, però, concentrarmi sul rapporto tra titolari autonomi, che, a mio avviso, è molto più diffuso di quanto non si creda: come sopra accennato, sulla base della natura e delle caratteristiche tipiche dell’attività imprenditoriale svolta – in conformità agli accordi contrattuali con i propri clienti ed alle previsioni normative di settore – non si vede perché un determinato soggetto (appaltatore/mandatario/ fornitore) debba essere considerato come responsabile, per il semplice fatto che, nell’esecuzione del rapporto contrattuale sottostante, effettui attività in nome e per conto del committente, se di fatto determina autonomamente le finalità ed i mezzi del trattamento dei dati personali ricevuti dal proprio cliente, decidendo e ponendo in atto, sempre in via autonoma, le più adeguate misure tecniche, organizzative e di sicurezza, per garantire un livello di tutela dei dati adeguato al rischio.
Tengo a precisare che, in questo modo, non si instaura affatto un rapporto di contitolarità sui dati personali usati da entrambi i soggetti, qualora gli stessi operino appunto come titolare autonomo, assumendosi pienamente tutte le responsabilità conseguenti. Responsabilità che ciascuno si assume proprio in funzione del concetto di accountability e dei criteri di privacy by design e privacy by default, determinati in maniera autonoma da ciascuno. In modo del tutto indipendente rispetto alle indicazioni contrattualmente previste, l’appaltatore/mandatario/fornitore mette “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento” (art.24, paragrafo 1, GDPR). Parimenti, in via del tutto indipendente rispetto alle indicazioni dell’altro contraente, è l’appaltatore/mandatario/fornitore a prendere tutte le decisioni (sulla base della valutazione dei rischi svolta internamente) per definire quali siano le misure tecniche e organizzative da adottare in ragione dei rischi che il trattamento (processo) potrebbe far correre ai diritti e alle libertà delle persone fisiche. Tant’è che, come altresì precisato, nell’ambito di questa tipologia di rapporti, gli interessati si possono rivolgere indistintamente all’uno o all’altro titolare autonomo per soddisfare le proprie richieste di tutela dei propri diritti. Il GDPR non impone sempre e comunque di procedere alla conclusione di un contratto titolare / responsabile, ma che “la protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento (controller) e dei responsabili del trattamento (processor), anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento” (Considerando n. 79, GDPR).
Ruoli e responsabilità chiari
Lo scopo della normativa è, dunque, quello di garantire che siano sempre chiari i ruoli e le responsabilità dei diversi soggetti che intervengono in un trattamento o in un complesso di trattamenti. Riconoscendo la propria posizione di titolare (che, come noto, non deve essere “contrattualizzata”), l’appaltatore/mandatario/fornitore può così soddisfare questa esigenza fondamentale, sul presupposto che, in quanto tale, svolge tutti i trattamenti, avvalendosi della propria organizzazione, dei propri mezzi e sistemi.
L’identificazione della natura dei servizi svolti dall’appaltatore/mandatario/fornitore, in funzione del concreto rapporto contrattuale posto in essere, è presupposto necessario per affermare che, in alcune circostanze, questi soggetti – che pure operano per conto e in nome del soggetto appaltante/mandante/committente – si muovono in piena autonomia, assumendo la posizione di titolare. Pertanto, il potere decisionale e le valutazioni connesse alla misure da adottare a seguito della valutazione di rischio, per assicurare la compliance al Regolamento, possono spettare anche a più titolari indipendenti (e non necessariamente in contitolarità). Sul punto, vale la pena di ricordare l’opinion del Working Party 29, n. 1/2010 (essendo la questione comunque già aperta e discussa sotto la precedente direttiva), oltre che la decisione del 13 dicembre 2016 dello stesso Working Party, emendata e adottata il 5 aprile 2017 (“Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento”).
Come negoziare le posizioni privacy
Non è mestiere semplice quello di convincere le controparti contrattuali del perché si intende rifiutare la nomina a responsabile del trattamento, per porsi come titolare autonomo (che ovviamente non necessita di un preventivo accordo, semmai di una ricognizione scritta dei ruoli assunti). Infatti, oltre che una scarsa conoscenza delle implicazioni del principio di accountability, esiste una diffusa diffidenza tra gli operatori privacy (specie nel settore pubblico) nei confronti di chi intende percorrere una strada diversa rispetto a quella “ordinaria” (titolare/responsabile); e ciò, nonostante che il titolare autonomo si assuma delle responsabilità ben specifiche: come noto, il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare; mentre, ai sensi dell’art. 82 GDPR (principio di accountability), chiunque subisca un danno materiale o immateriale cagionato da una violazione del GDPR ha il potenziale diritto di ottenere il risarcimento del danno, in primis e salvo prova contraria, proprio dal Titolare del trattamento.
Il Responsabile è, appunto, tenuto a rispondere dei danni, qualora non si sia attenuto alle indicazioni del Titolare e non abbia adempiuto gli obblighi presenti nel DPA. Nel caso in cui sia il Titolare che il Responsabile siano coinvolti e siano responsabili del danno causato dallo stesso trattamento, essi rispondono in solido per l’intero ammontare del danno, il che significa che l’adempimento di uno dei coobbligati libera gli altri, salvo poi il diritto di regresso nei rapporti interni fra gli stessi. E proprio in questa sede risulteranno determinanti gli accordi contenuti nel DPA, che consentiranno di definire i rapporti tra Titolare e Responsabile del trattamento, allocando obblighi, compiti e responsabilità.
