Civile

Privacy: l'autonomia del Responsabile è fonte di responsabilità diretta

Il Responsabile del trattamento dati gode di un'autonomia propositiva nell'adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto da derivarne una specifica e diretta responsabilità nel caso di misure rilevatesi inadeguate

di Gianluca Fasano*

E' questo, in sintesi, il contenuto del recente provvedimento del Garante (n. 107 del 24 marzo 2022) con cui è stato sanzionato un responsabile del trattamento a causa dell'accesso abusivo al sistema informatico che gestiva per conto del Titolare.

Più in dettaglio, alcuni soggetti non autorizzati hanno avuto la possibilità di prendere visione di dati personali di alcuni interessati accedendo alla piattaforma utilizzata dal corpo di Polizia locale per la gestione delle contravvenzioni al Codice della Strada.

L'accesso abusivo, secondo la ricostruzione risultante dall'istruttoria condotta dall'Autorità, sarebbe stato possibile a causa della divulgazione da parte del personale interno - all'ente titolare del trattamento - delle credenziali di accesso. Dunque, un comportamento ascrivibile a soggetti incaricati del trattamento da parte e per conto del Titolare.

Ciò nonostante, il Garante ha ritenuto il Responsabile manchevole di un suo specifico compito, quello di «adottare misure tecniche e organizzative volte ad assicurare che le password dei soggetti autorizzati rispettassero criteri di qualità e fossero obbligatoriamente modificate al primo utilizzo».

E, in effetti, le password erano rimaste invariate rispetto a quelle assegnate per effettuare il primo accesso al portale. La policy messa in campo prevedeva che il primo accesso alla piattaforma fosse consentito all'operatore di polizia locale inserendo, sia come username sia come password, il proprio numero di matricola, composto di sole quattro cifre. Effettuato il primo accesso, l'operatore aveva l'obbligo di modificare la password di accesso con una nuova (composta sempre da quattro cifre).

Pur essendo emerso, quindi, che l'accesso abusivo era avvenuto a causa di una fuoriuscita delle credenziali, ad opera di personale interno del corpo di polizia locale, la responsabilità dell'accaduto è stata attribuita al Responsabile. E, a latere della mancata qualità delle password, al Responsabile è stato addebitato anche la mancata registrazione dei log di accesso al sistema e l'adozione di un protocollo di rete non sicuro (http).

Ebbene, così ricostruito il quadro fattuale e sanzionatorio, quel che preme evidenziare è l'attenzione rivolta alla compliance sostanziale, intesa quale sistema di regole efficacemente organizzate verso un fine, al di là delle singole responsabilità individuali che hanno condotto ad una violazione di confidenzialità dei dati personali. In tale prospettiva, assume rilevanza il sottile confine che separa le responsabilità di un trattamento dati in capo ai diversi soggetti che, con altrettanto diversi ruoli, vi sono coinvolti.

Nell'affrontare tale tema il Garante ricorre, non per la prima volta, al concetto di "autonomia propositiva", intestandola al Responsabile e facendone derivare una specifica e diretta responsabilità per il caso in cui le misure di garanzia – tecniche ed organizzative – non risultino efficaci alla protezione dei dati. L'attenzione è così rivolta alla compliance sostanziale.

Ed invero il concetto trova fondamento nei principi posti a fondamento del sistema di protezione dal GDPR, quelli che identificano i ruoli dei vari attori coinvolti nel trattamento. Fermo restando che il Titolare è colui che decide gli elementi chiave del trattamento, cioè determina le finalità e i mezzi del trattamento, per usare la terminologia del legislatore europeo, al Responsabile residuano comunque dei margini di scelta, soprattutto sugli aspetti dell'implementazione delle misure di garanzia.

Il Responsabile del trattamento, in altri termini, deve trattare i dati secondo le istruzioni del Titolare, avendo cura di non andar oltre, ma gli appartiene pur sempre un certo grado di discrezionalità su come raggiungere le finalità indicate dal Titolare. Discrezionalità che si appalesa evidente proprio laddove il Responsabile possiede quelle conoscenze tecniche specifiche, come nel caso di specie, tali da consentirgli di dover individuare le caratteristiche che le misure tecniche e organizzative debbono possedere per esser adeguate al livello di rischio. Ma da tale autonomia deriva una responsabilità diretta, cioè non mediata dalla posizione del Titolare.

Peraltro, i concetti di Titolare e Responsabile (ma anche quello di contitolare) vengono qualificati anche come «concetti funzionali», vale a dire che mirano ad allocare la responsabilità in relazione ai ruoli effettivamente svolti dalle parti in uno specifico contesto. E in tale prospettiva va letta l'ordinanza del Garante: il Responsabile del trattamento gode di un ruolo proprio che ne qualifica la posizione sia in termini di autonomia, nel proporre le modalità (non essenziali) di trattamento, sia per la conseguente e diretta responsabilità.

In conclusione, giova evidenziare che i ruoli dei soggetti coinvolti a vario titolo nel trattamento dei dati personali sono complementari tra di loro e sarebbe un errore metodologico considerarli subalterni gli uni agli altri. Essi devono seguire l'impronta data dal sistema di compliance delineato con il GDPR, nel quale il Responsabile non si atteggia a mero esecutore delle istruzioni impartite dal Titolare ma gioca un ruolo di primo piano per via del potere di decidere aspetti salienti delle misure di sicurezza.

* a cura dell'avv. Gianluca Fasano, Dirigente Istituto di Ricerca ISTC-CNR

Per saperne di piùRiproduzione riservata ©