Anche il GDPR, come il Codice Privacy, individua una figura autonoma: l'”incaricato” del trattamento dati. Si tratta di una figura diversa da quella del titolare e del responsabile. E per poter compiere operazioni di trattamento dati deve preventivamente essere autorizzata e istruita in tal senso. Ma le caratteristiche del ruolo possono porre una serie di interrogativi quando si tratta di un soggetto esterno all’organizzazione del titolare o del responsabile. Ecco un’analisi dello scenario in campo.
Il ruolo dell’incaricato rispetto a titolare e responsabile
L’incaricato del trattamento dati ha da sempre dato origine a discussioni e dubbi applicativi, fin dall’entrata in vigore del d.lgs. 196/2003. I “nodi” principali risiedono nella definizione non tanto delle sue caratteristiche, quanto del suo ruolo rispetto al titolare o al responsabile del trattamento dati. Che potere può esercitare? La questione non è semplice, ma di strategica rilevanza in questo periodo di piena attuazione delle nuove regole sulla Privacy. Vediamole in dettaglio.
Tale figura, introdotta dal legislatore nazionale in accordo con l’Autorità Garante, non è presente in nessuna delle altre legislazioni degli Stati membri dell’Unione europea e non era prevista nemmeno dalla direttiva 95/46/CE.
Da dove nasce l'”incaricato”
Ruolo di matrice esclusivamente italiana, l’incaricato del trattamento compare per la prima volta nel Codice Privacy (artt. 4 e 30 d.lgs. 196/2003), definito come “la persona fisica autorizzata a compiere operazioni di trattamento” “sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite”.
Successivamente, il Regolamento europeo 679/2016, nel definire i ruoli e i soggetti coinvolti nel trattamento di dati personali, pur non facendo alcun riferimento diretto all’incaricato, non ne esclude la presenza includendo all’art. 4 n. 10 le c.d. “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. In tal senso dispone anche l’art. 29 GDPR, rubricato “Trattamento sotto l’Autorità del Titolare o del Responsabile”, in base al quale “chiunque compia trattamenti sotto l’autorità del titolare o del responsabile deve essere istruito in tal senso da questi ultimi”.
Dall’analisi del dato normativo, emergono diverse analogie tra la disciplina del GDPR e quella del previgente Codice Privacy. Anche il GDPR, infatti, individua una figura autonoma, diversa da titolare e responsabile, che per poter compiere operazioni di trattamento deve preventivamente essere autorizzata e istruita in tal senso (da titolare o responsabile). In entrambe le previsioni, inoltre, l’accento viene posto sulla necessaria supremazia che deve rivestire il titolare/responsabile nei confronti del soggetto autorizzato, divenendo condizione di legittimità dei trattamenti posti in essere da terzi in assenza di specifico contratto o altro atto giuridico ex art. 28 GDPR.
Lo stesso Garante nazionale ha chiarito sul punto che “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”.
Cambia la terminologia ma non i requisiti
A parere del Garante, pertanto, la liceità e la meritevolezza della designazione degli incaricati/autorizzati risiede proprio nello stesso principio di accountability, rientrando la definizione dei ruoli e delle responsabilità tra le misure organizzative che il titolare può adottare al fine di garantire la protezione dei dati personali trattati.
Con l’entrata in vigore del d.lgs. 101/2018, il legislatore ha abrogato l’intero Titolo IV – rubricato “Soggetti che effettuano il trattamento” – del Codice Privacy e introdotto l’art. 2-quaterdecies, il quale al comma 1 prevede che “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. Al secondo comma è stato previsto che: “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
Anche in questo caso, l’evoluzione normativa muta la terminologia ma non i requisiti sostanziali della figura in esame. I soggetti designati previsti dal d.lgs. 101/2018 sono persone fisiche che operano sotto l’autorità di titolare o responsabile che per poter compiere operazioni di trattamento devono essere state a ciò designate (cioè autorizzate) e specificamente istruite.
Individuate le qualità che deve necessariamente possedere l’incaricato (o autorizzato o designato), preme ora rispondere ad alcuni complessi quesiti pratici. Primo tra tutti: come distinguerlo dal responsabile del trattamento?
Minore autonomia rispetto al responsabile
Senza dubbio si tratta di un soggetto che differisce dal responsabile ex art. 28 GDPR sotto diversi profili.
Sotto l’aspetto sostanziale, gode di una minore autonomia operativa e, conseguentemente, di un minore grado di responsabilizzazione, essendo un mero esecutore di compiti. Infatti, se da un lato il responsabile deve necessariamente essere dotato di una certa autonomia organizzativa al fine di garantire misure tecniche e organizzative adeguate a soddisfare i requisiti di tutela dei diritti dell’interessato, dall’altro il soggetto incaricato (o autorizzato o designato) deve essere istruito sulle modalità di trattamento opportune dal titolare o responsabile e deve attenersi a tali istruzioni. Non vi è dunque alcun margine di autonomia per tali figure che si riducono a meri esecutori materiali delle operazioni di trattamento pianificate e controllate da altri.
Sotto l’aspetto formale, inoltre, l’art. 28 GDPR impone che i trattamenti effettuati da parte di un responsabile del trattamento siano disciplinati da un contratto o da altro atto giuridico, mentre la designazione dei soggetti autorizzati non prevede alcun vincolo di forma. Per contro, i designati possono essere solo persone fisiche, a differenza dei responsabili che possono essere indistintamente persone fisiche o giuridiche.
Dal raffronto della disciplina normativa prevista per le due figure, si può concludere che il soggetto incaricato/autorizzato/designato:
- Dovrà essere una persona fisica;
- Dovrà attenersi alle istruzioni impartitegli dal titolare o dal responsabile, i quali saranno i soli soggetti tenuti ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati;
- Potrà trattare i dati anche in assenza di un atto formale.
Soggetto esterno: nessun divieto del legislatore
Così evidenziate le differenze tra responsabile del trattamento e soggetto designato, sorge spontanea un’altra domanda: può trattarsi di un soggetto esterno all’organizzazione del titolare o del responsabile?
Sul punto si può subito rilevare che il legislatore non ha mai previsto un divieto esplicito in tal senso. Tuttavia, la questione non è di pronta e immediata soluzione. In tutte le formulazioni normative, infatti, il legislatore richiama sempre il concetto di soggetto che opera sotto la diretta autorità del titolare o del responsabile. È proprio su tale locuzione che si fonda la tesi oggi prevalente, secondo la quale pur essendo teoricamente possibile designare un soggetto esterno, nella pratica ciò risulterebbe impossibile. Questa corrente ritiene che operare sotto la diretta autorità del titolare sia sinonimo di operare alle dipendenze del titolare, rientrando, quindi, nel concetto di incaricato/autorizzato/designato solo ed esclusivamente i lavoratori dipendenti.
Ogniqualvolta un soggetto esterno tratti dati di titolarità altrui, dovrà essere nominato responsabile esterno del trattamento ai sensi dell’art. 28 GDPR, per il solo fatto di non essere dipendente del titolare. Secondo tale interpretazione, quindi, a nulla rileva l’effettivo grado di autonomia operativa del soggetto, o l’effettiva possibilità organizzativa di porre in essere le misure tecniche e organizzative adeguate, viene valutato solo l’assenza di un vincolo di subordinazione.
Questa impostazione, per quanto diffusa, non è del tutto condivisibile e merita di essere discussa.
Le principali “zone grigie”
La presunta equivalenza tra “autorità diretta” e “lavoro subordinato” non convince. L’autorità implica l’esistenza di una facoltà, giuridicamente riconosciuta, di esercitare un determinato potere. All’autorità corrisponde, quindi, una condizione di superiorità alla quale fa da contraltare un’opposta condizione di sudditanza.
Va da sé, ai sensi dell’art. 2094 c.c., che, nel rapporto di lavoro subordinato, esiste sempre un vincolo in forza del quale il lavoratore dipendente è sottoposto al potere gerarchico del datore di lavoro (“alle dipendenze e sotto la direzione”).
Ciò premesso, pur essendo vero che in presenza di un vincolo di subordinazione ci si trova sempre in presenza di un’autorità diretta, ciò non significa che in assenza di tale vincolo si possa escludere qualsiasi tipo di potere direzionale. Si può, quindi, affermare che se vi è subordinazione, vi è sempre autorità diretta, ma anche che la stessa può sussistere in assenza di subordinazione.
Tale riflessione consente di individuare delle zone grigie, permettendo di confutare l’assunto per cui i soggetti incaricati/autorizzati/designati possono essere solo interni all’organizzazione del titolare o del responsabile, dovendo procedere per gli esterni sempre e solo alla nomina ex art. 28 GDPR.
Si pensi all’ipotesi dei lavori c.d. parasubordinati che presentano caratteristiche intermedie tra il lavoro subordinato (sicuramente caratterizzato dalla presenza della autorità diretta) e quello autonomo (sicuramente caratterizzato dall’assenza della autorità diretta). Si tratta di forme di lavoro svolte continuativamente, coordinate con la struttura organizzativa del datore di lavoro ma senza vincolo di subordinazione.
Ipotesi tipica di lavoro parasubordinato è il rapporto di agenzia, in riferimento al quale è opportuno osservare come l’agente, pur dovendo teoricamente mantenere un certo grado di autonomia, spesso nella pratica si trovi in una situazione di soggezione nei confronti del proponente.
Il caso degli “agenti mandatari”
Nella pratica, infatti, non è raro imbattersi in realtà aziendali dotate di una rete di agenti adibiti alla promozione e commercializzazione sul territorio dei prodotti del titolare. Talvolta tali articolazioni aziendali sono costituite da agenti monomandatari, che ricevono dal titolare gli strumenti di lavoro necessari all’espletamento dell’incarico e dettagliate istruzioni e procedure a cui attenersi. In tale evenienza, l’agente dispone di una modesta, se non del tutto assente, organizzazione personale, verificandosi una situazione di sudditanza economica e gestionale rispetto al proponente.
Poniamo l’ipotesi di un agente monomandatario che riceva dal titolare non solo i dati dei clienti e/o dei potenziali clienti a cui promuovere i prodotti, ma anche lo strumento (ad esempio un tablet) contenente già i dati precaricati dal titolare e configurato al fine di consentire l’invio degli ordini solo mediante apposita procedura obbligata. È evidente che finalità, modalità, strumenti e persino le singole operazioni di trattamento sono state preventivamente determinate dal titolare che, per la loro esecuzione materiale si avvale dell’operato dell’agente preventivamente formato e istruito in tal senso. Può comunque ritenersi assente un potere direzionale del titolare? Può ritenersi l’agente posto nelle condizioni di garantire autonomamente l’adozione delle misure tecniche e organizzative adeguate a soddisfare i requisiti di tutela dei diritti degli interessati coinvolti?
Stage e tirocinio, come comportarsi
Un’altra zona grigia può essere individuata nelle ipotesi di stage o tirocinio, con particolare riferimento ai tirocini svolti ai fini della pratica professionale. Lo stage (o tirocinio formativo e di orientamento) consiste in un periodo di formazione presso un’azienda o uno studio professionale allo scopo di iniziare a conoscere il mondo del lavoro e acquisire una specifica professionalità. Non viene considerato rapporto di lavoro subordinato, tant’è che non comporta né obbligo di retribuzione né di contribuzione a fini previdenziali. Nel rapporto tra stagista/tirocinante e azienda/professionista, pertanto, non intercorre alcun vincolo di subordinazione. Vi è di più. Con riguardo ai tirocini svolti ai fini della pratica professionale (ad esempio per la pratica forense), qualora lo studio professionale decida di riconoscere una somma a titolo di retribuzione per l’attività svolta dal praticante, i compensi saranno corrisposti in regime di libera professione, previa apertura della partita iva.
Ora poniamo l’ipotesi di un praticante avvocato che, nella quotidianità della propria attività, tratta dati – anche di natura particolare e giudiziaria – sotto istruzione e secondo le direttive ricevuto dal proprio dominus di studio. Il praticante non ha alcuna autonomia organizzativa, utilizzando gli strumenti messi a disposizione dal dominus, né professionale, non essendo in possesso delle competenze necessarie. Si limita ad attenersi alle istruzioni fornitegli dal dominus (titolare del trattamento), in qualità di mero esecutore. Si può, dunque, dire che in questo caso manchi un’autorità diretta del dominus in quanto il praticante esercita la propria attività in regime di libera professione? Può il praticante disporre dei mezzi necessari a garantire l’adozione delle misure tecniche e organizzative adeguate richieste dall’art. 28 GDPR?
Mettere al centro il “dato concreto”
A corroborare ulteriormente la possibilità di procedere alla designazione di soggetti autorizzati anche esterni all’organizzazione del titolare, interviene un risalente provvedimento il Garante che afferma che “non sono considerati ‘terzi’ gli incaricati del trattamento previamente individuati per iscritto e che operano sotto la ‘diretta autorità’ del titolare o del responsabile, attuandone le istruzioni”, prevedendo espressamente che “tale possibilità può essere utilizzata sia quando gli incaricati operano all’interno dell’ordinaria struttura del titolare, sia quando essi coadiuvano il titolare stesso operando presso un centro esterno” (Parere 8 giugno 1999).
Il provvedimento citato è ancora attualissimo e non può ritenersi superato o inapplicabile per il solo fatto di utilizzare il termine “incaricati”, risultando compatibile anche con la figura del soggetto autorizzato o designato.
Nel rispetto del principio di accountability, nonché della natura sostanzialista del Regolamento UE n. 679/2016, si ritiene opportuno procedere sempre con estrema cautela nel qualificare i diversi ruoli privacy, ponendo massima attenzione al dato concreto e valutando il reale grado di autonomia operativa ai fini di imputare le corrette responsabilità.
