29 Gennaio 2019

Il “Responsabile deresponsabilizzato” e il “Titolare irresponsabile”: il teatro dell’assurdo nell’applicazione del GDPR

di Andrea LisiSarah Ungaro Scarica in PDF

Le nomine dei Responsabili del trattamento dei dati personali da parte dei Titolari rincorrono percorsi che sembrano ispirati al teatro dell’assurdo e di certo non sembrano perseguire gli obiettivi legati all’accountability che pervadono il GDPR. Proviamo a fare ordine e a sfatare certe logiche legate troppo ai formalismi tipici della normativa precedente che invece il legislatore europeo richiede con forza di superare.

***

Sulle sfaccettature del rapporto tra Titolare e Responsabile del trattamento (ai sensi dell’art. 28 del Regolamento 2016/679/UE – GDPR), sono stati già versati fiumi d’inchiostro e di bit. Accanto alle esegesi teoriche della norma – o, talvolta, indipendentemente da esse – il dibattito interpretativo si è sviluppato anche in relazione alle molteplici fattispecie in cui, nella prassi applicativa, sarebbe opportuno inquadrare in tal senso il rapporto di un Titolare del trattamento con un suo fornitore, un suo collaboratore e, più in generale, un diverso soggetto coinvolto nel trattamento di dati personali “per suo conto”.

Tuttavia, nell’affannoso avvicendarsi di interpretazioni – a ben vedere poco autentiche – di queste nuove norme sul trattamento dei dati personali, abbiamo assistito a copioni a dir poco inediti e, a dirla tutta, assai poco convincenti, in relazione all’istrionica figura del Responsabile del trattamento[1].

Va in scena l’accountability

Solo per citare qualche esempio: secondo un documento del CNF, l’Avvocato domiciliatario dovrebbe essere nominato Responsabile del trattamento (ai sensi dell’art. 28 del GDPR) dal Collega dominus della causa e Titolare del trattamento[2]. Stesso ruolo è stato assegnato persino a un attore come il MIUR, nel rapporto con l’Istituto scolastico (Titolare del trattamento), in relazione ai dati personali “gestiti” attraverso il portale SIDI – com’è peraltro obbligatorio per alcune attività degli Istituti – messo a disposizione dallo stesso Ministero[3].

Eppure no, non stiamo assistendo a un’opera ispirata al teatro di Beckett, ma al paradossale esito di un automatismo ben lontano da quel principio di accountability sancito proprio dal GDPR.

In effetti, non può che risultare assurdo immaginare, ad esempio, che un Istituto scolastico possa esercitare nei confronti del MIUR i poteri di controllo che un Titolare è tenuto a mettere in atto nei confronti del Responsabile che ha scelto. O, ancora, che un Avvocato sia obbligato a indicare al Collega domiciliatario – già soggetto ai medesimi doveri deontologici di riservatezza e segretezza – di trattare i dati personali relativi alla causa con le misure di sicurezza che siano idonee a mantenere riservati tali dati.

Dialoghi, duetti e soliloqui

Tuttavia la correttezza dell’inquadramento – quasi automatico – nella figura di Responsabile del soggetto che tratta dati personali per conto del Titolare del trattamento, a ben vedere, sembra vacillare in molte altre ipotesi concrete e frequenti (es. la compagnia assicurativa che tratta dati dei dipendenti in esecuzione del contratto stipulato dal datore di lavoro, l’agenzia di viaggi che tratta dati di soggetti che partecipano a trasferte lavorative o escursioni didattiche gestite da organizzazioni private o enti pubblici, etc.)[4]. D’altra parte, l’assegnazione del ruolo di Responsabile può, ragionevolmente, ritenersi esclusa nei casi in cui il trattamento dei dati sia affidato a professionisti già soggetti a precisi obblighi di riservatezza, segretezza e diligenza, certamente validi anche ai fini della protezione dei dati personali (medici del lavoro, avvocati, commercialisti, etc.): a queste categorie di soggetti – a nostro avviso – non può che attribuirsi, dunque, la qualifica di Titolare autonomo, anche alla luce della specificità delle prestazioni fornite dal professionista, al quale il Titolare del trattamento non potrebbe, verosimilmente, impartire le istruzioni a cui attenersi nella gestione dei trattamenti di dati personali, che presuppongono necessariamente il possesso di precipue competenze di settore.

Tali considerazioni non sono solo frutto di una prospettiva che prende le mosse da un’analisi delle fattispecie concrete, ma anche – ovviamente – dalle disposizioni normative, in particolare, degli artt. 24, 25 e 32 del GDPR.

Effettivamente, alla luce del principio di accountability, sancito dal paragrafo 1 dell’art. 24 del GDPR, per cui “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”, sembra a prima vista arduo immaginare con quali concrete modalità il Titolare possa dimostrare il rispetto delle norme del Regolamento da parte del Responsabile che tratta dati personali in esecuzione di un servizio: servizio che, in ogni caso, è espletato per rispondere all’esigenza di effettuare una prestazione che il Titolare del trattamento è costretto, o comunque trova conveniente, far eseguire a un diverso soggetto. In tale assetto di rapporti, tuttavia, occorre prestare la massima attenzione a non confondere le finalità relative al trattamento dei dati personali con le finalità dell’espletamento del servizio oggetto del contratto o del rapporto con il Titolare.

Gli attrezzi di scena

Quali sono, dunque, i mezzi a disposizione del Titolare per poter concretamente dimostrare di aver scelto un Responsabile del trattamento che presenti idonee garanzie circa il rispetto delle norme del GDPR? Ovviamente, l’adozione di precise clausole contrattuali, garanzie, standard di sicurezza, SLA, certificazioni, codici di condotta e, in generale, tutto ciò che può essere utile al Titolare al fine di dimostrare, nell’ottica di accountability, che – nella valutazione circa il soggetto a cui affidare il servizio al quale è correlato un trattamento di dati personali da effettuarsi per suo conto – lo stesso ha avuto riguardo all’esigenza che il soggetto a cui è stato affidato il servizio (e il trattamento dei dati personali correlato all’espletamento dello stesso) fosse in grado in astratto di garantire il rispetto delle norme del Regolamento. Tanto, al fine di evitare – in ultima analisi – che in capo allo stesso Titolare possa ravvisarsi la culpa in eligendo.

Occorre però porre attenzione. Il Regolamento, come noto, non richiede tout court l’adozione dei livelli di sicurezza – tecnica e organizzativa – più elevati, bensì impone di tenere in considerazione (al fine di valutare l’adeguatezza della scelta) anche di altri fattori correlati al trattamento, valorizzati negli artt. 25 (in relazione agli obblighi del Titolare) e 32 (per quanto attiene alle misure di sicurezza da predisporre da parte del Titolare, ma anche del Responsabile del trattamento). Nell’incipit di tali norme, in effetti, si impone di effettuare le necessarie valutazioni tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, dell’oggetto, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.[5]

Il punto di svolta

Ed ecco, dunque, che torna in rilievo anche la sottile, ma fondamentale, differenza tra le finalità del servizio e le finalità del trattamento, differenza che risulta dirimente in molti casi in cui la qualificazione del soggetto di cui si avvale il Titolare per porre in essere alcune attività di trattamento risulta essere maggiormente in linea con la posizione del Titolare autonomo, piuttosto che con quella del Responsabile di cui all’art. 28 del Regolamento.

È pur vero che, dal punto di vista della tutela dell’Interessato, la qualifica di Titolare autonomo o di Responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, sancita dall’art. 82 del GDPR e alla luce del fatto che lo stesso Regolamento ritiene espressamente superabili le rigide qualificazioni formali, nel caso in cui un Responsabile si comporti come un Titolare autonomo determinando finalità e mezzi del trattamento[6]. La distinzione dei ruoli, però, diventa decisiva quando spostiamo l’inquadratura sulla distribuzione della responsabilità tra i diversi soggetti che effettuano il trattamento di dati personali.

In effetti, fatti salvi il superamento delle qualificazioni formali e la responsabilità solidale nei confronti dell’Interessato, in tutti i casi in cui un Responsabile del trattamento riuscisse a dimostrare di aver rispettato gli obblighi del GDPR e le istruzioni ricevute dal Titolare potrebbe essere ritenuto esente da responsabilità per il danno subito dall’Interessato derivante dalle attività di trattamento. E ovviamente, nella prassi questa potrebbe rivelarsi un’ipotesi assai frequente, atteso il carattere succinto, o generico delle istruzioni per il trattamento dei dati (che mal si prestano, dunque, a fungere da serio parametro di valutazione del corretto adempimento) che frequentemente si riscontra nei documenti di nomina predisposti dai Titolari per i Responsabili del trattamento. Senza contare che, in pratica, tali documenti non solo sono spesso standardizzati, ma non di rado sono addirittura predisposti dallo stesso fornitore di servizi, qualificato come Responsabile del trattamento in improbabili atti di (auto)investitura, contenenti anche il canonico richiamo alle facoltà di controllo da parte del Titolare: facoltà che, ovviamente, entrambi gli attori sanno già da principio che non sarà esercitata, nonostante l’incombere della culpa in vigilando, ma che finirà per assomigliare all’attesa di Godot[7].

L’epilogo

Ciò nonostante, questa rappresentazione dell’assurdo continua massivamente a essere adottata, un po’ per automatismo, un po’ perché ovviamente risulta conveniente per i fornitori di servizi, che di fatto – anche in considerazione della loro forza contrattuale, in molti casi – stabiliscono a monte le istruzioni che i Titolari del trattamento dovranno chiedere loro di osservare come Responsabili del trattamento. E anche tale circostanza, tanto replicata da divenire consuetudine, finisce per assomigliare a un dramma del non senso.

Diversamente, il fornitore che dovesse indossare le vesti del Titolare autonomo, fatta comunque salva la responsabilità solidale nei confronti dell’Interessato, sarebbe sicuramente più credibile, considerate le dinamiche contrattuali e il ruolo propositivo, più che ricettivo, interpretato da molti fornitori di servizi. Tali soggetti, infatti, in molti casi devono poter concorrere a decidere circa le finalità e i mezzi del trattamento al fine di erogare correttamente i servizi richiesti dal Titolare del trattamento.

È giusto, quindi, che l’attributo della responsabilizzazione spetti a chi, di fatto, abbia il potere di determinare le finalità e i mezzi del trattamento, di cui sarà l’autonomo Titolare. Fatto salvo, ovviamente, l’obbligo di rispettare le norme del GDPR, elemento imprescindibile, sia per i Titolari che per i Responsabili del trattamento.

[1] Com’è noto, il Regolamento 2016/679/UE all’art. 28 ha delineato la qualifica di Responsabile unicamente in capo a un soggetto esterno all’organizzazione del Titolare, generando inizialmente non pochi dubbi sulle sorti della figura del “Responsabile interno” largamente diffusa in molte realtà in vigenza della precedente versione del D.Lgs. n. 196/2003, la cui formulazione dell’art. 29 – divenuta incompatibile con il GDPR – ammetteva, invece, che la posizione del Responsabile potesse essere interna o esterna all’organizzazione del Titolare, ovviamente per rispondere ad esigenze organizzative diverse nel trattamento dei dati personali. Nella versione modificata dal D.Lgs. n. 101/2018, diversamente, il Codice in materia di protezione dei dati personali sembra nuovamente prevedere figure sostanzialmente simili a quelle finora conosciute come Responsabili interni, in particolare all’art. 2-quaterdecies, comma 1, dove si specifica che il Titolare o il Responsabile del trattamento “possono” prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a “persone fisiche, espressamente designate, che operano sotto la loro autorità”. A tali soggetti designati, dunque, sembrano potersi attribuire “specifici compiti e funzioni” (anche di coordinamento o gestione delle attività relative al trattamento dei dati personali) ulteriori rispetto alle “istruzioni” che devono – obbligatoriamente – essere impartite agli autorizzati al trattamento, di cui all’art. 29 del GDPR.

La finalità della disposizione di cui al comma 1 del citato art. 2-quaterdecies appare, dunque, quella di fornire un’espressa base normativa per quelle figure di responsabilità e di coordinamento interne all’organizzazione del Titolare o del Responsabile, che “possono” essere individuate tramite apposita designazione. Resta inteso, ad ogni modo, che tutti i soggetti che operano sotto l’autorità diretta del Titolare o del Responsabile e che svolgono attività di trattamento, devono essere, necessariamente, autorizzati e istruiti, sulla scorta dell’art. 29 del GDPR, restando al Titolare o al Responsabile la sola facoltà di decidere le modalità più opportune per formalizzare tale autorizzazione e impartire le relative istruzioni al trattamento, come emerge dalla formulazione letterale del secondo comma dell’art. 2-quaterdecies del D.Lgs. n. 196/2003. Di fatto questi commi 1 e 2 dell’art. 2-quaterdecies sembrano ricalcare in modo più sintetico la ratio degli ormai abrogati articoli 29 e 30 del Codice della protezione dei dati personali dedicati rispettivamente ai responsabili e agli incaricati del trattamento dei dati personali.

[2] Si veda quanto sostenuto nel documento del Consiglio Nazionale Forense “Il GDPR e l’Avvocato”, p. 14, elaborato dalla commissione del CNF in materia di privacy e disponibile all’indirizzo https://www.consiglionazionaleforense.it/documents/20182/445621/IL+GDPR+E+L%27AVVOCATO/ef231b75-2066-43df-8d88-570bf0ea98b3.

[3] È quanto si legge nel documento del Ministero dell’Istruzione, dell’Università e della Ricerca dell’agosto 2018, “Esempio di compilazione del Registro delle attività di trattamento per le Istituzioni Scolastiche. Nota metodologica” al par. 4, pag. 5, dove si specifica che “in particolare nel caso in cui l’Istituzione scolastica utilizzi le funzioni del portale SIDI, il MIUR si pone come responsabile esterno del trattamento ln quanto autorità pubblica che attraverso l’applicativo messo a disposizione tratta dati personali per conto del titolare del trattamento che è in via esclusiva l’istituzione scolastica”. In merito, risulta sicuramente arduo immaginare come una singola Istituzione scolastica possa, ad esempio, esercitare nei confronti del MIUR quei poteri di controllo che l’art. 28, par. 3, lett. h), del GDPR assegna al Titolare nei confronti del Responsabile del trattamento.

[4] E molto spesso sembra confondersi, come precisato più avanti, il servizio sviluppato da un fornitore “per conto” di un committente con il trattamento dei dati personali che non è sempre ancillare o correlato allo sviluppo dello stesso servizio, anzi è spesso totalmente autonomo nella determinazione delle sue finalità.

[5] Più precisamente, mentre all’art. 25 del GDPR si menziona l’ambito di applicazione, l’incipit dell’art. 32 fa riferimento all’oggetto del trattamento.

[6] Si veda l’art. 28, par. 10 del Regolamento 2016/679/UE.

[7] Personaggio di cui, nell’omonima opera di Beckett, ogni giorno viene inesorabilmente annunciato l’arrivo per il giorno successivo.

Articolo edito su AgendaDigitale.eu

Centro Studi Forense - Euroconference consiglia

Laboratorio di pratica professionale sulla Privacy