Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Annunci