Riflessioni sul Responsabile del trattamento

La figura del Responsabile del trattamento disciplinata dall’art. 28 del GDPR è generalmente nota, benché a volte possa ancora capitare di vederla confusa con il vecchio ruolo, di natura organizzativa interna, previsto dal nostro previgente Codice Privacy oppure, più incomprensibilmente, con il Responsabile della Protezione dei Dati (RPD o, come preferisco, DPO) previsto dall’art. 37 del Regolamento UE.

Nella pratica quotidiana, mi capita di constatare che il rapporto tra Titolare del trattamento e Responsabile del trattamento subisca, a livello contrattuale, compressioni e forzature di varia natura e genere, il più delle volte in conseguenza di rapporti di forza sbilanciati tra le parti.

Vediamo, innanzitutto, cosa prevede la normativa di riferimento.

Secondo l’art. 28 GDPR, “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato”.

Il Responsabile del trattamento è, quindi, colui che, con una discrezionalità più o meno ampia nelle modalità di svolgimento dell’incarico, persegue le finalità di trattamento definite dal Titolare.

I trattamenti di dati personali del Titolare da parte di un Responsabile del trattamento sono disciplinati normalmente da un contratto vincolante per quest’ultimo (che nella prassi viene spesso definito, impropriamente, con l’espressione “atto di nomina”) all’interno del quale si preveda, perlomeno, che il Responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del Titolare del trattamento;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure richieste dall’art. 32 GDPR;
  4. rispetti determinati criteri, indicati nei paragrafi 2 e 4 dell’art. 28, per nominare un altro Responsabile;
  5. assista il Titolare del trattamento con misure tecniche ed organizzative adeguate;
  6. assista il Titolare del trattamento negli obblighi di cui agli articoli 32 – 36 GDPR;
  7. su richiesta del Titolare, cancelli o restituisca tutti i dati personali al termine del proprio servizio;
  8. metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti a suo carico, consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
  9. informi immediatamente il Titolare del trattamento qualora un’istruzione violi il Regolamento o altro atto normativo;
  10. imponga i medesimi obblighi di cui sopra ai Responsabili del trattamento dai lui nominati (i cosiddetti “Sub-responsabili“).

Da questo dettagliato elenco di cui sopra si evince chiaramente che il GDPR è intervenuto significativamente sulla disciplina del Responsabile – la cui caratteristica essenziale è la strumentalità della sua attività rispetto ai fini del Titolare – attribuendogli maggiore rilevanza esterna e maggiore responsabilità.

Ciò che, però, spesso viene trascurato (o, forse, anche ignorato) nella pratica quotidiana è che, sebbene la norma del Regolamento preveda che il Titolare designi il proprio Responsabile con un atto scritto nel quale vengano definite dettagliatamente le attività che deve compiere, per poter attribuire ad un soggetto il ruolo di Responsabile occorre esaminare le concrete attività condotte da quest’ultimo, con l’effetto che:

  • qualora il Responsabile, anche se designato per iscritto dal Titolare, esorbiti dai compiti assegnatigli e tratti i dati per fini o con mezzi diversi da quelli indicati dal Titolare, diviene a sua volta Titolare o contitolare del trattamento;
  • la qualificazione, anche tramite contratto, di un soggetto come Titolare del trattamento dei dati non è elemento sufficiente ad escludere che questo soggetto tratti i dati per conto di un altro soggetto e, quindi, nella sostanza, si atteggi come suo Responsabile.

Nel rapporto tra Titolare e Responsabile del trattamento prevale, quindi, la sostanza sulla forma, come, d’altra parte, già da tempo aveva chiarito il nostro Garante della Protezione dei dati personali sotto la vigenza della precedente normativa.

Nel provvedimento del 29 aprile 2009 il Garante è intervenuto in alcuni casi di disservizi del sistema postale per chiarire quali sono le caratteristiche che distinguono il ruolo di Titolare del trattamento da quello di Responsabile:”l’esternalizzazione da parte della società di compiti connessi all’espletamento del servizio postale (e dei connessi trattamenti finalizzati al recapito della corrispondenza) (può) costituire una soluzione organizzativa pienamente legittima anche in base alla disciplina di protezione dei dati personali. Ciò, tuttavia, a condizione che la stessa trovi corretta applicazione e più precisamente, con riguardo alla fattispecie qui esaminata, a condizione che le società appaltatrici – da individuarsi, in ogni caso, tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice) – siano previamente designate “responsabili del trattamento” ai sensi dell´art. 29 del Codice”. A tale fine, il Garante precisa che “solo in capo a Poste italiane è corretto fare riferimento alla figura di “titolare del trattamento”, atteso che solo detta società ha il potere di: a) assumere decisioni relative alle finalità del trattamento, consistente nel dare attuazione ai compiti connessi all’esecuzione del servizio postale universale (del quale è unica concessionaria). Ciò risulta chiaramente dal menzionato “accordo quadro” che delimita analiticamente, precisandone i compiti, le attività che legittimamente possono essere effettuate dalle società appaltatrici operanti nell’interesse di Poste italiane, e dalle prescrizioni contrattuali relative sia all’esecuzione del servizio di distribuzione e raccolta della corrispondenza, sia all’espletamento di servizi ausiliari; b) impartire istruzioni e direttive vincolanti nei confronti delle società appaltatrici, come emerge dalle istruzioni impartite per dare attuazione al servizio postale affidato in appalto”; c) svolgere funzioni di controllo rispetto all’operato delle medesime e degli incaricati delle stesse, come risulta dalle analitiche previsione della menzionata “procedura interna” relativa alle attività di controllo”.

Nel provvedimento del 15 giugno 2011, decidendo un caso di trattamento dei dati da parte di soggetti che si avvalevano di agenti per attività promozionali, il Garante ha precisato che “nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l’esternalizzazione delle attività promozionali costituisce senz’altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle società preponenti; cionondimeno, nelle situazioni verificate dall’Autorità ed in tutte quelle in cui, pur non oggetto di formale indagine, l’atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti è riconducibile alle fattispecie” (di Responsabile del trattamento). Ciò in quanto, secondo il Garante, “è sempre rimessa al Titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia – come nei casi esaminati – il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che, in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali – lo si ripete – già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell’art. 29″.

Proprio perché il GDPR è una normativa che bada ai comportamenti concreti e non alle mere formalità, è del tutto illusorio, se non addirittura controproducente, da un lato, l’atteggiamento di chi pretende di opporsi – come talvolta mi è accaduto – alla richiesta del Titolare del trattamento di stipulare l’accordo previsto dall’art. 28 GDPR affermando di non accettare tale ruolo; dall’altro lato, è altrettanto inutile cercare di limitare le proprie responsabilità di Responsabile cercando, ad esempio, di ottenere, in sede di trattativa con il Titolare, eventuali “affievolimenti o sconti” di diligenza e/o limitazioni più o meno intense nei controlli e/o, ancora, l’inserimento di clausole di manleva, in deroga agli specifici obblighi previsti dall’art. 28 GDPR.

Buona Pasqua a tutti!

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!