L’art. 28 del regolamento UE 2016/679 (GDPR) prevede al primo comma i requisiti soggettivi del responsabile del trattamento il quale dovrà fornire le “garanzie sufficienti” per mettere in atto le misure tecniche ed organizzative adeguate nonché garantisca la tutela dei diritti dell’interessato.
Il medesimo comma conferma l’impostazione normativa secondo la quale è il titolare che designa il responsabile iniziale del trattamento, come si dirà in prosieguo, quest’ultimo potrà invece designare altri responsabili del trattamento.
Come descritto nel considerando 81 del regolamento, per garanzie effettive devono intendersi la conoscenza specialistica, l’affidabilità e risorse necessarie per mettere in atto le misure tecniche e organizzative.
I requisiti del responsabile trattamento dati
Pertanto, sotto il profilo dei requisiti soggettivi il responsabile trattamento dati, sia esso interno all’organizzazione che esterno, deve fornire una conoscenza specialistica che dovrà emergere da una documentazione comprovata risultante almeno da corsi qualificati. Mentre per l’affidabilità si dovrà ricorrere agli aspetti deontologici ed etici, tale garanzia potrebbe essere documentata per esempio in un’autocertificazione anche per escludere condanne rilevanti a tal fine.
Il responsabile dovrà pertanto allinearsi ai requisiti più stringenti del regolamento ed impegnarsi a soddisfare il livello di adeguatezza previsto dal regolamento mitigando il rischio connesso al trattamento dei dati da lui effettuato.
Nella pratica questo requisito non dovrebbe comportare particolari complessità rispetto al passato dovendo il responsabile impegnarsi secondo un contratto o altro atto giuridicamente vincolante, invero, sono previste nei commi 7 e 8 dell’art. 28 clausole contrattuali tipo emanate sia dalla Commissione europea che dalle Autorità di controllo.
Passando al Codice della Privacy, l’ambito soggettivo dell’art. 29 Codice della Privacy era (la legge 167/2017 ha infatti novellato l’art. 29 prevedendo espressamente anche la delega all’esterno dell’organizzazione) chiaramente rivolto a figure interne all’organizzazione, l’avverbio “facoltativamente” e la locuzione “se designato” confermano che sul piano letterale la disposizione era indirizzata al c.d. responsabile interno all’organizzazione. Il responsabile esterno del trattamento o meglio la figura e/o struttura alla quale veniva delegato all’esterno parte del trattamento non trovava una puntuale disciplina all’interno del Codice, fino alla novella del 12 dicembre 2017, portando ad un’interpretazione estensiva dell’art. 29.
Per converso l’ambito applicativo soggettivo dell’art. 28 del regolamento europeo ha come destinatario la figura o struttura alla quale viene delegato all’esterno il trattamento dei dati, sia l’impiego dell’autorizzazione generale o specifica previsto dal comma 2 dell’art. 28, sia il concetto di codice di condotta e di meccanismo di certificazione previsto invece dal comma 5, depongono a favore di questa tesi. La semplice delega di funzioni ad una figura interna all’organizzazione non sembra infatti in alcun modo compatibile con la scelta di individuare un sub-responsabile che necessita di un potere molto più ampio e di rappresentanza legale.
Analogamente, la scelta se aderire o meno ad un codice di condotta o una certificazione del servizio o del prodotto, entrambi adempimenti molto utili per dimostrare la conformità al regolamento, necessitano normalmente del coinvolgimento del vertice gerarchico dell’organizzazione anche in ragione delle disponibilità economiche alla quali si dovrebbe far ricorso.
Peraltro, la lett. g) del comma 3 dell’art. 28 prescrive che il responsabile del trattamento cancelli o restituisca i dati dopo che è terminata la prestazione di servizi, termine che sembra chiaramente collidere con la situazione nella quale il responsabile del trattamento abbia un rapporto di subordinazione nell’organizzazione.
Sotto il profilo dei requisiti soggettivi del responsabile del trattamento si ricorda che il Codice della Privacy prevede al comma 2 dell’art. 29 che il responsabile fornisca idonea garanzia rispetto alla piena osservanza della normativa privacy dovendo garantire sufficiente esperienza (che potrebbe emergere p.e. dal Curriculum), le capacità necessarie per svolgere i compiti affidati tramite la delega di funzioni (tale aspetto potrebbe sempre essere verificato dal curriculum), l’affidabilità che invece investe aspetti di deontologia e professionalità, la cui verifica potrebbe effettuarsi con un’autocertificazione o certificato del casellario giudiziale.
Non si ravvisano particolari novità nel regolamento a tal riguardo, se non per il fatto che il responsabile deve disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal regolamento. Pertanto, il responsabile deve avere a disposizione risorse sufficienti in termini di personale, economici e quant’altro necessario svolgere i compiti affidati dal titolare. Tuttavia, se si tratta di un trattamento dei dati interno all’organizzazione sarà il titolare del trattamento a dover fornire tali risorse, mentre se il trattamento è affidato all’esterno normalmente le risorse sono autonome del responsabile.
Come si accennava più sopra, il secondo comma del regolamento prevede certamente un’importante novità rispetto al Codice disponendo che il responsabile possa ricorrere a sua volta ad un nuovo responsabile (c.d. sub-responsabile), possibilità prevista finora nell’ordinamento italiano solo in materia di trasferimento dei dati all’estero e ricorrente al clausole contrattuali tipo nell’ambito dei rapporti tra esportatore dei dati stabilito in Italia ed importatore dei dati stabilito fuori dell’Unione Europea (i 28 Stati membri dell’UE e quelli dello Spazio Economico Europeo/SEE).
La risposta ai quesiti dell’organizzazione sulla scelta del responsabile
I quesiti che a questo punto sorgono sono almeno due: il primo è inerente all’ambito di applicabilità dell’intero articolo 28 del regolamento europeo e dei singoli commi anche quando il trattamento sia affidato all’interno dell’organizzazione (c.d. responsabile interno, potendo questi essere anche numerosi a seconda della complessità dell’organizzazione), il secondo quesito è il responsabile del trattamento ancora previsto dall’art. 29 del Codice della Privacy (nei primi quattro commi) può coesistere con il responsabile previsto a livello europeo. Sotto un profilo giuridico, mentre il primo comma non sembrerebbe porre problemi, il secondo comma apre un interrogativo che va posto in relazione anche con il primo comma, potrebbe un dipendente designare un sub-responsabile, può in sostanza delegare i propri poteri ad altre persone interne o perfino esterne all’organizzazione? Mentre tale aspetto era pacificamente escluso sotto il Codice delle Privacy, il quesito lascia invece in base al regolamento margini di incertezza che meritano ulteriori analisi.
Per rispondere al quesito posto sopra, in attesa dei chiarimenti ufficiali delle autorità preposte e del decreto legislativo che modificherà in modo compiuto il Codice della Privacy (legge 25 ottobre 2017, n. 163, entrata in vigore il 21 novembre 2017), l’interpretazione letterale porta a concludere che una delega ai sensi dell’art. 28 del regolamento anche da parte del responsabile interno non possa essere ritenuta valida per vari ordini di ragioni, in primo luogo l’art. 28 come norma gerarchicamente superiore prevede come ambito soggettivo solo la figura del responsabile esterno all’organizzazione.
Per essere più chiari l’articolo 28 e l’impianto generale del regolamento in tema di responsabile del trattamento non consentono di ritenere ammissibile la figura di responsabile del trattamento all’interno dell’organizzazione in quanto numerosi obblighi come il registro delle attività del responsabile e un impianto sanzionatorio non applicabile ad un dipendente.
Da una parte, questa interpretazione trova fondamento in primo luogo nel dato letterale, ci si riferisce non solo all’articolo 28 del regolamento, ma anche ad altri articoli come l’articolo 30 comma 2, il quale prescrive che “ogni responsabile del trattamento” è tenuto ad adottare un registro delle attività di trattamento, adempimento espressione del principio di accountability che presuppone una persona esterna al titolare del trattamento. Sotto un profilo pratico, il registro delle attività del trattamento del responsabile, contiene informazioni che non sono in alcun modo riferibili ad un responsabile interno all’organizzazione, a meno che questo responsabile sia l’unico nell’organizzazione e come tale possa avere accesso all’intero sistema informativo della stessa.
Peraltro verso, non si può giuridicamente creare nel nostro ordinamento una figura di responsabile che altro non è che una superfetazione del responsabile specificamente disciplinato a livello europeo dal regolamento, senza dover applicare interamente la disciplina prevista per questa categoria o figura di responsabile del trattamento.
D’altro canto, sui concetti di titolare e responsabile del trattamento, il Gruppo Articolo 29 nel Parere 1/2010 (Wp 169 del 16 febbraio 2010) ha chiaramente individuato l’incaricato al trattamento (rectius responsabile del trattamento secondo il Codice della Privacy) come una persona esterna all’organizzazione. Peraltro, anche diverse Autorità Garanti per la protezione dei dati personali in Europa hanno pubblicato documenti e linee guida nei quali specificano che l’esistenza del solo incaricato del trattamento, tra queste l’Information Commissioner’s Office (ICO) inglese specifica che il data processor non può essere un dipendente dell’organizzazione.
È infatti opportuno ricordare che la figura intermedia, tra titolare e incaricato al trattamento, che corrispondente al responsabile interno all’organizzazione è un’anomalia tutta italiana.
Più nel merito, l’art. 29 così come è formulato è per i primi quattro commi appare come incompatibile con il regolamento prevedendo infatti una figura che non è prevista dal regolamento europeo e per le ragioni di cui sopra non può essere mantenuta nel nostro ordinamento, mentre gli altri due commi sono una duplicazione parziale dell’art. 28 del regolamento, quest’ultimo aspetto è una circostanza considerata vietata in caso disposizione direttamente applicabile, come conferma anche la recente comunicazione della Commissione europea del 24 gennaio 2018.
L’impatto sull’organizzazione
Per concludere, appare è necessario chiarire che l’eliminazione del responsabile interno del trattamento ad opera del legislatore italiano (assolutamente auspicabile entro il 21 maggio 2018, termine previsto dalla legge delega) non implicherà un cambiamento radicale a livello organizzativo e di organigramma privacy, figure intermedie e di supporto ad avviso dello scrivente potranno mantenersi ma come incaricati del trattamento ma non come responsabili. Un sistema di deleghe infatti sarà sempre applicabile sia con riferimento alla normativa nazionale ed europea sulla protezione dei dati personali da intendersi come lex specialis anche rispetto al codice civile, oltre alle altre normative eventualmente applicabili.
Infine, questo cambiamento comporta ovviamente implicazioni in termini di una riduzione di responsabilità attribuibili al personale interno incaricato del trattamento, responsabilità che si sposteranno invece sul titolare del trattamento e sul responsabile del trattamento (esterno) uniche figure eventualmente sanzionabili alla luce del regolamento. Il titolare del trattamento e i responsabili esterni, se obbligati o meno al nuovo adempimento, potranno certamente giovarsi anche della diversa figura del responsabile della protezione dei dati personali (più noto come Data Protection Officer), un notevole sopporto per garantire e dimostrare la conformità normativa al nuovo regolamento europeo ed un’effettiva protezione dei personali nell’organizzazione.
Questi temi ed altri legati al nuovo regolamento sono stati analizzati nel recente volume La nuova “privacy europea” curato dal medesimo autore e che verrà presentato il prossimo 14 marzo 2018 presso l’Università degli Studi Internazionali di Roma (UNINT).
