Una delle principali peculiarità del Regolamento UE 679/2016 sulla protezione dei dati personali è, sicuramente, il ruolo del Responsabile del Trattamento. Il nuovo dettato normativo, nonostante l’entrata in vigore il 25 maggio 2018, continua a generare problematiche interpretative di non poco conto, soprattutto su questa nuova figura sulla quale sono sorti non pochi dubbi interpretativi.

Regolamento UE

Direttiva 95/45/CE - Codice Privacy 196/2003 - Regolamento UE 679/2016 - Fonti Normative a confronto

Partiamo da alcune brevi, ma fondamentali, precisazioni terminologiche: se è vero che “tradurre è tradire”, questo è un caso in cui la terminologia italiana può apparire fuorviante rispetto ai concetti più appropriati espressi in lingua inglese. La parola Data Controller è infelicemente tradotta in italiano con “Titolare del Trattamento” che, nella lingua italiana, ha un significato evocativo che può trarre in inganno; il Data Controller non è infatti titolare, “padrone”, dei dati, ma solo del trattamento dei dati, i quali restano però di esclusiva proprietà del soggetto a cui si riferiscono, che in termini privacy si definisce Interessato (in inglese è il Data Subject). Quello che si vuole intendere è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. La caratteristica fondamentale del titolare è la capacità di determinare finalità e mezzi del trattamento (art. 4 del GDPR). Il Data Processor è, invece, tradotto in italiano come “Responsabile del Trattamento”: altra traduzione fraintendibile. Quello che si vuole definire è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare” (art. 4 del GDPR). Il Responsabile entra in gioco quando il Titolare decide di delegare parte del trattamento ad un soggetto esterno: esso è privo di autonomia nel decidere come e per quali ragioni può trattare i dati degli interessati.

Il Regolamento europeo in materia di protezione dei dati personali, dunque, non muta di una virgola la definizione di titolare e responsabile del trattamento rispetto alla direttiva 95/45/CE che lo ha preceduto e al Codice Privacy 196/2003, poiché questi ruoli erano già ivi minuziosamente definiti.

Il GDPR, dunque, non va ad abrogare il Codice Privacy (Dlgs. 196/2003) e la mancanza di una legge di armonizzazione e raccordo, ha favorito la nascita di diverse interpretazioni su cosa del Codice Privacy possa essere considerato implicitamente abrogato, perché in contrasto con il Regolamento UE 679/2016, e cosa invece possa sopravvivere.

L’Incaricato al Trattamento dei dati personali: art. 30 Codice Privacy

Fra le tematiche oggetto di discordanti interpretazioni vi sono quelle relative alla possibilità di considerare ancora compatibili con la nuova normativa le attuali figure dell’Incaricato e del Responsabile Interno.

La figura dell’Incaricato prevista all’art. 30 del Codice Privacy, è una figura che non è presente in nessuna delle altre legislazioni degli Stati membri dell’Unione e non è una figura autonoma prevista dal GDPR. L’introduzione nella legge italiana dell’incaricato del trattamento, che non era previsto nemmeno dalla direttiva 95/46/CE , è stata oggetto di forti critiche in quanto, in particolari casi di contestazione di violazioni, questa figura forniva la possibilità a soggetti responsabili del trattamento di poter sostenere di non avere agito in qualità di responsabile del trattamento, ma sotto la diretta autorità del titolare, in quanto incaricati, eseguendo unicamente le istruzioni da questo impartite.

È opportuno, a questo punto, fare un po’ di chiarezza sulle definizioni utilizzate per le figure titolare, responsabile e incaricato nella Direttiva, nel Codice e nel Regolamento UE.

Nella direttiva 95/46/CE

  • il “titolare” del Codice Privacy è definito “responsabile del trattamento”;
  • il “responsabile” del Codice Privacy è definito “incaricato del trattamento;
  • gli “incaricati” del Codice Privacy possono essere identificati con “le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta”.
Fonti normative a confronto

Per comprendere appieno la portata di queste distinzioni, bisogna aver chiaro il rapporto tra le diverse fonti normative. Le direttive europee per essere attuate dagli Stati membri richiedono sempre una legge di attuazione nazionale, mentre i regolamenti europei, come il GDPR, sono immediatamente e direttamente e sono sempre prevalenti sulle norme nazionali dei singoli Stati membri. Il Codice Privacy Dlgs 196/2003 è la legge attuativa della direttiva madre 95/46/CE; il GDPR è il Regolamento Europeo che abroga la direttiva 95/46/CE ma non abroga il Codice Privacy, sul quale comunque prevale.

In sede europea è stato concesso di poter utilizzare ancora i termini titolare, responsabile e incaricato; traducendo così, nella versione italiana del GDPR, la figura del “controller” con “titolare del trattamento”; “processor” con “responsabile del trattamento”; “third party” con “terzo” e di poter continuare ad utilizzare il termine “incaricato” per qualificare “le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

Anche se nella traduzione italiana del GDPR non compare mai il termine incaricato del trattamento, e pur non essendo espressamente prevista dal GDPR questa figura come figura giuridicamente autonoma, il Garante italiano giustifica e considera non incompatibile con il regolamento la figura dell’incaricato. Infatti, nel documento del Garante Privacy “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, nella sezione “Titolare, Responsabile, Incaricato Del Trattamento”, si trova scritto:

[Pur non prevedendo espressamente la figura dell’incaricato del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”]

Quindi, anche se il GDPR non prevede la figura autonoma dell’incaricato, questo non vieta al titolare o al responsabile del trattamento di nominarlo, attraverso una specifica lettera di attribuzione di incarico; questa facoltà non deve essere intesa come un obbligo normativo,  come lo è invece per il Codice Privacy la nomina a incaricato prevista dall’ art. 30 che prevede che la designazione dell’incaricato sia effettuata per iscritto e che nell’atto di nomina si debba individuare l’ambito del trattamento consentito. Pur non essendo l’incaricato una figura giuridica autonoma del GDPR, il termine incaricato potrebbe essere comunque utilizzato nell’informativa o tra le informazioni fornite agli interessati, ma non con l’accezione di figura giuridica autonoma, come previsto attualmente dall’art. 30 del Codice Privacy.

Che fine fa il Responsabile Interno del Trattamento dei dati personali? Il Nuovo Schema di Decreto Legislativo

Se per la figura dell’incaricato non sembrano esserci particolari problematiche, la questione appare differente per la figura del Responsabile Interno dove è maggiormente diffusa una concezione non sempre corretta di questa figura.

La distinzione tra Responsabile Interno e Responsabile Esterno è una prassi italiana che non trova riscontri normativi nella direttiva 95/46/CE, nel Codice Privacy Dlgs 196/2003 e tanto meno nel Regolamento UE 2016/679 dalla cui analisi appare evidente che la figura del Responsabile Interno risulta, per diversi aspetti, non più compatibile con il nuovo dettato normativo (c.d. GDPR). Dalla lettura del Regolamento, sembra dedursi che di Responsabile del trattamento si parla nel solo caso di affidamento di attività a soggetti terzi, che agiscono per conto del titolare. La normativa europea pone, dunque, in rilievo unicamente la figura del Responsabile Esterno, nonostante una definizione ampia prevista dall’art. 4 che considera Responsabile del Trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Vi sono infatti una serie di obblighi e disposizioni contrattuali che il GDPR pone in seno ai Responsabili del Trattamento, che risultano non compatibili con una figura interna, come molte delle disposizioni previste all’art. 28 che appaiono applicabili solo ad un soggetto esterno all’azienda. Inoltre, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile. In aggiunta, si potrebbe altresì argomentare che in altri casi in cui l’inquadramento della figura risultava incerto, è stato il medesimo dettato normativo a sciogliere il nodo interpretativo: è il caso del Data Protection Officer, in merito al quale l’art. 37 del GDPR prevede espressamente che possa essere un soggetto interno o esterno alla struttura del titolare o del responsabile.

responsabile trattamento interno o esterno?

Una simile interpretazione risulterebbe in contrasto con quanto sinora applicato in territorio italiano, in cui la figura del responsabile è stata concepita anche come ruolo interno, suscettibile di essere attribuito ad alcuni dipendenti del titolare volto a garantire, mediante una ripartizione dei ruoli interni, la supervisione della Compliance aziendale in materia di Data Protection. Tale interpretazione deriva dall’ampio dettato normativo del vigente Codice privacy. Ciononostante, dopo una prima modifica all’art. 29 del Codice, mediante la legge europea n. 167/2017, con cui non si modificava il dualismo iniziale tra responsabile interno ed esterno, con l’attuale schema di decreto legislativo, abrogativo del Codice Privacy, anche l’ordinamento italiano sembra circoscrivere la figura del responsabile nei limiti soggettivi previsti dal GDPR. In modo più esplicito, il nuovo schema di decreto legislativo, che attende di essere approvata dalle commissioni parlamentari competenti e del Garante della privacy e che in una prima versione prevedeva l’abolizione integrale del Codice privacy, prevede l’abolizione dei singoli articoli specificatamente individuati nonché la modifica di altri articoli e supporta la tendenza del GDPR a mantenere il responsabile del trattamento come esterno.

Il nuovo schema di decreto legislativo ha, quindi, individuato una serie di disposizioni del codice privacy italiano da abrogare, poiché incompatibili con le norme contenute nel Regolamento UE, nonché ha previsto l’introduzione all’interno di detto codice di nuove disposizioni (ad oggi non presenti) e l’integrazione e la modifica di altre disposizioni per rendere detto codice conforme al Regolamento stesso.

Nonostante ciò, ai fini di poter garantire una piena applicazione del principio di accountability, non risulterebbe preclusa la facoltà del titolare di strutturarsi e di dotarsi al proprio interno di un’adeguata struttura che garantisca la Compliance aziendale in tema di Data Protection.

In conclusione, il responsabile del trattamento è esterno all’azienda. Tratta i dati attenendosi alle istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura. Il titolare del trattamento, ovviamente, può distribuire incarichi interni (es. responsabile dell’area legale, dell’area marketing, etc..), ma la responsabilità rimane sua, e dell’eventuale responsabile (esterno) nominato. Questi soggetti saranno incaricati del trattamento ma non responsabili. Infine, questo cambiamento comporta ovviamente implicazioni in termini di una riduzione di responsabilità attribuibili al personale interno incaricato del trattamento, responsabilità che si sposteranno invece sul titolare del trattamento e sul responsabile del trattamento (esterno), uniche figure eventualmente sanzionabili alla luce del Regolamento. Il Titolare del trattamento e i Responsabili esterni, se obbligati o meno al nuovo adempimento, potranno certamente avvalersi anche della nuova figura del Responsabile della Protezione dei Dati Personali (come abbiamo approfondito sull’articolo riguardo il DPO – Data Protection Officer), un notevole supporto per garantire e dimostrare la conformità normativa al nuovo Regolamento Europeo.

Alla luce di quanto finora scritto, con tutta probabilità, gli atti di designazione a Responsabili del Trattamento Interni non saranno più validi: per tali soggetti dovrebbero essere formalizzate nuove lettere di incarico per evitare confusioni.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.


0 commenti

Lascia un commento

Segnaposto per l'avatar

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *