Le figure dell’Incaricato del trattamento e del Responsabile interno tra Direttiva, Codice Privacy e Regolamento

 

In questo momento di transizione tra il Codice Privacy e il Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR), a sei mesi dalla completa applicazione del Regolamento, ci sono ancora diverse tematiche verso le quali non sempre vi è una consolidata posizione comune.

Il GDPR non abroga il Codice Privacy (Dlgs. 196/2003) e in attesa dei prossimi decreti legislativi1, la mancanza di una legge di armonizzazione e raccordo ha favorito la nascita di diverse interpretazioni su cosa del Codice Privacy possa essere considerato implicitamente abrogato perché in contrasto con il Regolamento e cosa invece possa sopravvivere.

Fra le tematiche oggetto di discordanti interpretazioni vi sono quelle relative alla possibilità di considerare ancora compatibili con la nuova normativa le attuali figure dell’Incaricato e del Responsabile Interno.

Incaricato del trattamento

La figura dell’Incaricato prevista all’art. 302 del Codice Privacy (D.Lgs. 196/2003) è una figura che non è presente in nessuna delle altre ventisette legislazioni degli Stati membri dell’Unione e non è una figura autonoma prevista dal GDPR. L’introduzione nella legge italiana della figura autonoma dell’Incaricato del trattamento, che non era prevista nemmeno dalla direttiva 95/46/CE del 19953, è stata oggetto di forti critiche da parte delle altre DPA europee e in passato ha causato al Garante italiano alcune difficoltà in quanto, in particolari casi di contestazione di violazioni, questa figura forniva la possibilità a soggetti responsabili del trattamento di poter sostenere di non avere agito in qualità di responsabile del trattamento, ma che l’agire a loro contestato era dovuto solo ed esclusivamente in quanto incaricati che hanno agito sotto la diretta autorità del titolare, eseguendo unicamente le istruzioni da questo impartite.

Ma facciamo un pò di chiarezza sulle definizioni utilizzate per le figure titolare, responsabile e incaricato nella Direttiva, nel Codice e nel Regolamento.
Nella direttiva 95/46/CE

  • il “titolare” del Codice Privacy Art. 4.1.f D.lgs 196/2003 è definito “responsabile del trattamento” Art. 2.d 95/46/CE;
  • il “responsabile” del Codice Privacy art. 4.1.g  D.lgs 196/2003 è definito “incaricato del trattamento” Art. 2.e 95/46/CE;
  • gli “incaricati” del Codice Privacy art. 4.1.h  D.lgs 196/2003 possono essere identificati con “le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta” Art. 2.f 95/46/CE.4

Per comprendere appieno la portata di queste distinzioni bisogna aver chiaro il rapporto tra le diverse fonti normative. Le direttive europee per essere attuate dagli Stati membri richiedono sempre una legge di attuazione nazionale, mentre i regolamenti europei come il GDPR sono immediatamente e direttamente applicabili negli ordinamenti degli Stati membri e sono sempre prevalenti sulle norme nazionali dei singoli Stati membri. Il Codice Privacy D.lgs 196/2003 è la legge attuativa della direttiva madre 95/46/CE; il GDPR è il regolamento europeo che abroga la direttiva 95/46/CE ma non abroga il Codice Privacy sul quale comunque prevale.

In sede europea alla nostra DPA è stato concesso di poter utilizzare ancora i termini titolare, responsabile e incaricato; traducendo così, nella versione italiana del GDPR, la figura del “controller” (Art. 4.7)  con “titolare del trattamento”; “processor” (Art. 4.8) con “responsabile del trattamento”; “third party” (Art. 4.10) con “terzo” e di poter continuare ad utilizzare il termine “incaricato” per qualificare “le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” 5

Anche se nella traduzione italiana del GDPR non compare mai il termine incaricato del trattamento e pur non essendo espressamente prevista dal GDPR questa figura come figura giuridicamente autonoma, il Garante italiano, nella guida all’applicazione del Regolamento, giustifica e considera non incompatibile con il regolamento la figura dell’incaricato. Infatti, nel documento del Garante “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, voce dell’indice “TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO”, sezione “Cosa non cambia?” si trova scritto:

[ Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento). ] 6

Quindi anche se il GDPR non prevede la figura autonoma dell’incaricato, questo non vieta che se il titolare o il responsabile del trattamento, oltre a fare tutto quello che il regolamento espressamente prevede per “le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”, vogliono anche fare (su base volontaria) una ulteriore responsabilizzazione di queste persone attraverso una specifica lettera di attribuzione di incarico e identificare queste persone utilizzando il termine “Incaricato” lo possono fare. Questa modalità operativa potrebbe anche essere considerata una buona prassi volta a poter ulteriormente sostenere la dimostrabilità della compliance al GDPR. Ma questa facoltà non deve essere intesa come un obbligo normativo come lo è invece per il Codice Privacy la nomina a incaricato prevista dall’ art. 30, che al punto 2 prevede che la designazione dell’incaricato sia effettuata per iscritto e che nell’atto di nomina si debba individuare puntualmente l’ambito del trattamento consentito.

Se poi in fase ispettiva da parte della DPA venissero trovate prove documentali che comprovassero la perfetta e formale attribuzione delle nomine a incaricati di tutti i dipendenti, ma non si rilevasse alcuna prova volta a dimostrare che a tutti i dipendenti che trattano dati personali o ad uno specifico di loro7 siano state impartite tutte le istruzioni da parte del titolare del trattamento e sia stata fatta la necessaria formazione, allora, in questo caso il valore della documentazione di nomina a incaricato sarebbe inferiore al valore di un ‘soldo bucato’.

Pur non essendo l’incaricato una figura giuridica autonoma del GDPR, il termine Incaricato potrebbe essere comunque utilizzato nella informativa o tra le informazioni fornite agli interessati, ma non con l’accezione di figura giuridica autonoma come previsto attualmente dall’art. 30 del Codice Privacy. Il suo utilizzo avrebbe la stessa valenza che avrebbe l’utilizzo del temine, dipendente, addetto, bidello, spedizioniere, infermiere, ecc. con l’accezione prevista dall’art.4, n.10 del Regolamento “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” 8, che non richiede più obbligatoriamente un atto formale di nomina, anche se potrebbe essere considerata una buona prassi continuare a farlo, ma richiede l’obbligo di formazione e di fornire istruzioni come previsto dall’Articolo 29, secondo il quale la regola generale prevede che chiunque agisca sotto l’autorità del responsabile del trattamento o sotto quella del titolare del trattamento che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento 9.

Responsabile interno

Se per la figura dell’incaricato non sembrano esserci particolari problematiche, la questione appare differente per la figura del Responsabile interno dove è maggiormente diffusa una concezione non sempre corretta di questa figura; questo è stato rilevato anche presso alcune società internazionali che forniscono ai propri clienti consulenza e supporto per l’adeguamento al GDPR.

In primo luogo bisogna avere ben presente che con il GDPR non può più bastare la limitata visione a livello nazionale delle questioni sulla data protection. Dal 25 maggio 2018, con l’abrogazione della direttiva 45/196 /CE, non sarà più in essere il muto riconoscimento che valeva per le singole leggi nazionali attuative della direttiva madre. Inoltre gli interessati residenti in altri Stati membri della UE potranno rivolgersi alle DPA del proprio paese qualora ritengano che i propri dati personali siano stati oggetto di un trattamento non legittimo da parte di un’azienda italiana.

La distinzione tra Responsabile interno e Responsabile esterno è una prassi operativa italiana che non trova riscontri normativi nella direttiva 95/46/CE, nel Codice Privacy D.lgs 196/2003 e tanto meno nel Regolamento (UE) 2016/679 dalla cui analisi appare piuttosto evidente che la figura del Responsabile interno risulta per diversi aspetti non più compatibile con il  nuovo dettato normativo.

Secondo il Regolamento il Responsabile del trattamento (Art.4.8) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Appare evidente dagli articoli 4.10 e 29 che le rispettive espressioni “le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” e “chiunque agisca sotto la autorità del responsabile del trattamento o sotto quella del titolare del trattamento” si riferiscono sostanzialmente a categorie di soggetti con ruoli subalterni interni, come dipendenti e collaboratori; ruoli riconducibili alla figura dell’ex incaricato del Codice Privacy. Dall’articolo 29 del GDPR appare inoltre evidente emergere la netta distinzione tra il personale dipendente e le figure che invece hanno il potere di definire finalità e mezzi del trattamento (Titolari) o di trattare i dati per conto del titolare del trattamento (Responsabili).

Vi sono inoltre una serie di obblighi e disposizioni contrattuali che il GDPR pone in seno ai Responsabili del trattamento, che risultano non compatibili con una figura interna, come molte delle disposizioni previste all’articolo 28.3, che appaiono applicabili solo a un responsabile esterno.

Va inoltre considerata l’esposizione al rischio della responsabilità solidale

  • è risarcibile qualsiasi danno causato da una violazione del regolamento (Art. 82.1);
  • il titolare del trattamento è responsabile e risponde per il danno cagionato dal suo trattamento (Art. 82.2);
  • i Responsabili del trattamento sono responsabili in solido per il risarcimento del danno con titolari, contitolari e altri responsabili Art. 26.3, Art.28, Art 82.4.

Da non sottovalutare anche la possibilità che quando le associazioni sindacali comprenderanno appieno cosa, implica per un dipendente essere nominato Responsabile del trattamento ai sensi del nuovo GDPR, sia in termini di responsabilità generali che di responsabilità solidale per il risarcimento del danno, scenderanno in campo per contrastare questa prassi e tutelare i lavoratori.

Alla luce di tutto questo non sembra, almeno a detta dello scrivente, più praticabile la nomina indiscriminata di Responsabili interni del trattamento10, solo perché ricoprono la qualifica aziendale di capi reparto o di dirigenti di unità operativa, quando nelle loro effettive mansioni privacy è prevista la sola esecuzione di poche istruzioni operative. In questo caso risulta più coerente inserire queste figure all’interno di un ben strutturato organigramma privacy dell’azienda, dove verranno specificati e dettagliati ruoli, compiti e mansioni dei vari dipendenti, ciascuno dei quali dovrà ricevere dal titolare istruzioni e formazione complete e adeguate al ruolo loro assegnato.

Appare invece conciliabile con il GDPR la nomina di un responsabile interno qualora questo agisca effettivamente da Responsabile; quando effettivamente tratti dati personali per conto del titolare. Esempio quando un titolare nomina responsabile un ufficio (o gruppo di uffici) un servizio o un dipartimento, ecc.; cosa ben differente dalla nomina a Responsabile di un dipendente che non pone in essere un vero e proprio trattamento di dati personali su mandato del titolare.

Note

  1. LEGGE 25 ottobre 2017, n. 163; – Art. 13 – “Delega al Governo per l’adeguamento della normativa  nazionale  alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione  delle  persone fisiche con riguardo al  trattamento  dei  dati  personali, nonché’ alla libera circolazione di  tali dati  e  che  abroga  la direttiva 95/46/CE”. Entro sei medi il governo dovrà emanare uno o più decreti legislativi per abrogare espressamente le disposizioni del Codice Privacy che sono incompatibili con le disposizioni contenute nel GDPR.
    http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2017-11-06&atto.codiceRedazionale=17G00177&elenco30giorni=false ,ultima consultazione 20/11/2017
  2. Art. 30 D.lgs 196/2003 – Incaricati del trattamento – 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
    2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
  3. Sebbene nella direttiva 95/46/CE all’ Art. 2.e sia presente la figura “incaricato del trattamento”, questa figura non coincide con la figura incaricato indicata dal Codice Privacy, bensì con quella del responsabile del trattamento.
  4. Art. 2.f 95/46/CE – «terzi»: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta.
  5. Nella traduzione italiana del GDPR non viene utilizzato da nessuna parte il termine “incaricato del trattamento” e, ad oggi (20/11/2017), il termine “Incaricato del trattamento” è presente solo nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” del Garante.
  6. http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento ,ultima consultazione 20/11/2017
  7. il dipendente al quale è stato ricondotto uno specifico agire oggetto di un reclamo al Garante.
  8. Art. 4.10 GDPR da leggere in relazione anche ad Art. 29 e C29.
  9. Art.29 2016/679 “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento” – Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
  10. In alcune realtà aziendali complesse si tratta della nomina a Responsabile di qualche centinaio di dipendenti che spesso non sono in possesso delle competenze specifiche richieste dal GDPR.

Bibliografia

A cura di: Stefano Luca Tresoldi

Fonte: ictsecuritymagazine.com