Nelle relazioni fra Titolare del trattamento e Responsabile del trattamento, al di là del dettato normativo, sono state espresse tante, a volte troppe, interpretazioni del tipo:
- il Titolare del trattamento deve o può (?) nominare il Responsabile del trattamento ….;
- il Responsabile del trattamento comunica al Titolare l’assunzione di incarico in forza di …;
- il Titolare ed il Responsabile sottoscrivono un contratto negoziando sui suoi contenuti … .
Sono tutte considerazioni legittime che, però, determinano comportamenti differenziati e, non sempre, allineati ai requisiti del GDPR.
Ragioniamo, insieme, con il Regolamento alla mano riportando innanzitutto le definizioni che seguono:
- «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…);
- «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Si evince, fin da subito, come sia il Titolare del trattamento a fare il primo passo nei confronti del Responsabile, e non viceversa perché è quest’ultimo che, in virtù di un mandato o contratto di servizi sottoscritto con il Titolare, tratta dati personali a questi riconducibili. E proprio in funzione del contratto di servizi, o del mandato, che i dati personali riconducibili al Titolare saranno più o meno ampi con riferimento alla categoria di dati trattati (dati personali, particolari, giudiziari penali) piuttosto che ai mezzi di trattamento o altro ancora.
Questa è ancora la fase in cui è “semplicemente” stabilito il rapporto professionale fra le parti. Quindi lo studio dell’Avvocato, del Consulente del lavoro o della Società di consulenza in materia di privacy, per fare solo pochi esempi, in virtù del suddetto mandato o contratto, si pongono come Responsabili del trattamento nei confronti del loro assistito ovvero del loro cliente.
Il Reg. UE 679/2016, al primo paragrafo dell’art. 28, recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
È indubbio che nel farsi rappresentare dall’avvocato, nelle sedi giudiziarie, o nel ricorrere al consulente del lavoro per la gestione paghe dei propri dipendenti o alla società di consulenza per adeguarsi alla normativa sulla privacy si sta facendo riferimento ad un trattamento di dati personali che deve essere effettuato per conto del titolare del trattamento.
A questo punto, se il servizio è garantito dalla firma del contratto sottoscritto fra cliente e fornitore, occorre far sì che anche il rapporto fra Titolare (ovvero il Cliente) e Responsabile (cioè il Fornitore), ai fini privacy, sia ugualmente garantito.
Come? Semplice: il Titolare nomina il proprio Fornitore come Responsabile del trattamento.
In che modo? Con un contratto o altro atto giuridico!
Ed ecco il semaforo rosso! Come fa il Titolare a ricorrere ovvero nominare quell’avvocato, quel consulente o quella società se non sa nemmeno se presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato?
I suddetti soggetti, già per loro conto in quanto Titolari dei propri dati personali, devono adempiere al regolamento. Quindi, già di per sé sono tenuti al rispetto del GDPR. L’assunzione del ruolo di RTDP conseguente alle relazioni con il Titolare non costituisce una fattispecie diversa se non quella dettata dalla contestualizzazione dei rapporti nello svolgimento della propria attività. Infatti l’Avvocato, il Consulente e la Società, nei confronti dei loro fornitori, si pongono a loro volta come titolari.
Titolari e Responsabili sono entrambi terzi alternandosi di volta in volta a seconda dello specifico contesto. Ce lo ricorda l’art. 4, che al punto 10) del primo paragrafo, definisce <<terzo>>: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
A dispetto di tutto ciò, la nomina a RTDP (esterno) non viene sottoscritta; chissà per quale motivo (??).
Il Titolare a questo punto può assumere due comportamenti: sostituire il professionista o soprassedere perché prevalgono le competenze specifiche. Ma ahimè, la mancata sottoscrizione del contratto, di nomina del RTDP, determina una sanzione amministrativa pecuniaria.
Infatti, l’art. 83/679/2016 dispone che (…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nei casi di: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43.
Come si può notare, l’art. 28 ci sta; è specificatamente considerato.
Un altro aspetto per cui la nomina del RTDP è oltremodo doverosa e opportuna è quello esplicitato all’art. 82/679/2016 in materia di Diritto al risarcimento e responsabilità e, più precisamene, in materia di responsabilità solidale.
Al Titolare, quindi, può essere obiettato il fatto che il soprassedere alla sottoscrizione del contratto di nomina del RTDP è contrario ai suoi obblighi di messa in atto delle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento con un rischio, appunto, di sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per inosservanza del combinato disposto ex artt. 24, 28 e 83 del GDPR.
Per quanto sopra, oggettivamente, al Titolare non può essere attribuita una culpa in eligendo laddove i RTDP nominati dovessero disattendere i requisiti di idoneità e adeguatezza. Abbiamo detto perché obbligati al rispetto del Regolamento, fin dall’origine, in qualità di TTDP.
Altro è invece se parliamo di culpa in vigilando. Fra le istruzioni che il Titolare impartisce al RTDP, infatti, è obbligatoria anche quella che prevede di poter svolgere, direttamente e/o indirettamente, attività di revisione e ispezione. Facoltà del tutto legittima anche se estesa a tutta la filiera dei soggetti che, direttamente o meno, trattano dati personali riconducibili al Titolare … fino al gestore del cloud.
Per chi, infine, ritiene che la nomina del RTDP è, persino, irregolare dichiarando il prevalere del cosiddetto principio di effettività per cui il RTDP è tale di fatto e non deve ricevere nessun incarico formale, per la semplice esistenza di un contratto di fornitura (quando esiste) o del rapporto di compravendita fra le parti, mi permetto di dissentire fortemente perché siffatto principio:
- deve essere esplicitamente richiamato nella specifica normativa di riferimento;
- non rientra nel novero dei Principi applicabili al trattamento di dati personali ex art. 5;
- è palesemente in contrasto al disposto ex art. 28.
Nulla quindi che possa essere paragonato al principio di effettività richiamato, per quanto di propria competenza, nella legislazione speciale di cui al:
- D. Lgs. 81/08 e smi che – all’art. 299/81/08 e smi “Esercizio di fatto di poteri direttivi” – recita: <<Le posizioni di garanzia relative ai soggetti di cui all’articolo 2, comma 1, lettere b), d) ed e), gravano altresì su colui il quale, pur sprovvisto di regolare investitura, eserciti in concreto i poteri giuridici riferiti a ciascuno dei soggetti ivi definiti e
- D. Lgs. 231/01 e smi che – al comma 1, lett. a) dell’art. 5 “Responsabilità dell´ente” – dispone: <<L´ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell´ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso.
Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified