Nel corso di un convegno a cui ho partecipato settimana scorsa, si è discusso dei ruoli di titolare, responsabile e contitolare del trattamento.
Durante un intervento, la relatrice ha sostenuto che:
- la scelta della categoria dei commercialisti e di quella dei consulenti del lavoro di ricorrere, nella quasi totalità dei casi, alla qualifica di responsabile del trattamento non sarebbe affatto “illuminata” e potrebbe, anzi, esporli a problemi in futuro;
- come responsabile del trattamento, il consulente fiscale o del lavoro sarebbe soggetto a qualsiasi scelta del titolare, che potrebbe in ipotesi imporgli modalità di trattamento dei dati e di protezione degli stessi estremamente gravose;
- meglio sarebbe, invece, se queste categorie di professionisti valutassero l’ipotesi di considerarsi contitolari, gestendo di comune accordo i dati degli interessati con i loro clienti.
Ammetto che non avevo considerato, fino a quel momento, il rapporto tra cliente e commercialista o consulente del lavoro sotto la veste della contitolarità e, pertanto, mi sono posto la domanda se, effettivamente, il rapporto tra le parti potrebbe essere impostato in modo più efficiente sulla base all’art. 26 del GDPR (che disciplina, appunto, le ipotesi di contitolarità).
La mia risposta è stata decisamente negativa e vi spiego il perché.
Sappiamo tutti chi è il titolare del trattamento: è il protagonista centrale del sistema di tutela dei dati del GDPR ed è colui che stabilisce le modalità di trattamento e sul quale grava l’onere di mettere in atto tutte le misure, tecniche ed organizzative, adeguate a garantire che i suddetti trattamenti siano conformi al GDPR.
Il responsabile del trattamento, invece, è:
- la persona fisica o giuridica che tratta i dati per conto del titolare;
- un soggetto terzo al quale il titolare ricorre per lo svolgimento di trattamenti fatti per suo conto ed in suo nome.
Il rapporto tra titolare e responsabile deve essere regolato da un contratto che vincoli il responsabile al titolare (nel quale verranno precisate durata e contenuto dei trattamenti che gli sono affidati, la loro natura e finalità, il tipo di dati e le categorie di interessati, gli obblighi e i diritti del titolare) e, come afferma il Prof. Pizzetti nell’ottimo libro “Intelligenza Artificiale, Protezione dei dati personali e regolazione”, “anche il responsabile del trattamento, sia pure come comprimario, si muove all’interno del medesimo scenario del titolare: un sistema di regole di protezione dei dati personali, per un verso robustamente definito e per l’altro flessibile, la cui applicazione deve basarsi su una lettura e una attuazione capaci di accompagnare anche le evoluzioni tecnologiche, man mano che si sviluppano”.
Infine, vi sono i contitolari del trattamento: figura nuova introdotta dal GDPR che prevede la possibilità che uno stesso trattamento possa essere posto in essere da due o più soggetti, che ne determinano congiuntamente le finalità, le modalità e i mezzi per svolgerlo.
Già solo da questa definizione, a me pare molto difficile – diciamo improbabile – che il commercialista o il consulente del lavoro possano “sedersi al tavolo” con il proprio cliente / titolare e concordare una “gestione condivisa” dei dati per quanto riguarda le finalità, le modalità e i mezzi da adottare per lo svolgimento del proprio incarico professionale.
Mi sembra, infatti, nella “natura delle cose” che la finalità del trattamento la deciderà in via autonoma il cliente del professionista, che darà specifiche istruzioni a quest’ultimo sulla base di un mandato professionale e che, in tale ambito, il ruolo del professionista sarà quello di esecutore, per quanto qualificato, della volontà del proprio cliente.
E’, d’altra parte, poco verosimile pensare che il professionista:
- voglia assumersi, come prevede l’art. 26 del GDPR, la responsabilità solidale dei trattamenti svolti anche dal proprio cliente o
- desideri assumersi la gestione delle richieste degli interessati del titolare, dato che questi ultimi, in base al Regolamento, possono rivolgersi ad uno qualsiasi dei contitolari per esercitare i propri diritti;
- oppure si accordi e definisca con il proprio cliente la gestione unitaria e condivisa di un solo registro delle attività di trattamento (chi lo terrebbe? chi lo aggiornerebbe? chi se ne assumerebbe la responsabilità?).
Il tutto, senza contare i problemi che emergerebbero nel caso in cui una delle parti decidesse, magari unilateralmente o addirittura in modo conflittuale, di sciogliersi dal vincolo contrattuale.
Diverso è, invece, il caso in cui i rapporti tra le parti sono improntati ad una situazione di partnership.
Come ho già evidenziato in un mio precedente post (“quando si può adottare l’accordo interno tra contitolari del trattamento?“), l’accordo interno tra contitolari può rivelarsi uno strumento utile per alcuni tipi di gruppi societari, dove non si è in presenza di una netta struttura rigorosamente gerarchica e dove vi siano risorse condivise, o per alcune tipologie di Associazioni Temporanee di Imprese (ATI), all’interno delle quali più società collaborano tra loro con ruoli, compiti e funzioni tra loro complementari, scambiandosi reciproche informazioni per la realizzazione di uno specifico progetto.
In questi casi, la contitolarità può costituire effettivamente la soluzione ottimale.
Nel caso, invece, del professionista che svolge trattamenti di dati del proprio cliente e per conto di questi, la condivisione delle finalità non può che essere intesa solo in senso lato, come obiettivo del cliente a cui il professionista partecipa, ma in veste di esecutore delle istruzioni del primo.
Titolare, responsabile e contitolare sono le tre figure su cui fa perno il GDPR ma devono essere ben comprese nelle loro specifiche caratteristiche perché il fraintendimento dei ruoli può generare gravi conseguenze, soprattutto sotto il profilo della ripartizione delle responsabilità dei trattamenti.