L'autonomia nel potere decisionale qualifica il "titolare" del trattamento dei dati personali
Titolare e responsabile del trattamento dei dati personali: come distinguere in concreto le due figure anche alla luce di quanto sancito dalla Corte di Cassazione nell'ordinanza n. 21.234 del 23 luglio 2021.
Dal ruolo di Titolare e da quello di Responsabile del trattamento dei dati personali derivano compiti differenti ai sensi della normativa del Regolamento UE 2016/679 (GDPR). Tuttavia, nello svolgimento concreto delle attività accade non di rado che il discrimine tra queste figure non sia così chiaro e si generi confusione, con il rischio di pesanti ripercussioni in termini di responsabilità e, quindi, di sanzioni. Un elemento di distinzione tra i due ruoli in esame viene individuato nel valorizzare in concreto l'atteggiarsi dell'esercizio del potere decisionale autonomo dei soggetti coinvolti nel trattamento. Questo è il principio che emerge dalla recente ordinanza della Corte di Cassazione n. 21234 del 23.07.2021 che si pone in continuità con la enunciazione, del medesimo tenore, espressa dal Garante della Privacy nel provvedimento del 16 febbraio del 2006 (ben richiamato nella ordinanza in commento).
1. Il Titolare del trattamento di dati personali.
Nella società odierna ci si trova sempre più di frequente a trattare dati personali degli individui, a vario titolo e spesso senza che sia definito in modo chiaro il ruolo dei diversi soggetti coinvolti. Risulta quindi inevitabile chiedersi quali siano in concreto le differenze in termini di obblighi, poteri, responsabilità tra il Titolare e il Responsabile del trattamento dei dati personali, due soggetti che spesso vengono confusi nell'opinione pubblica. Occorre aver ben chiaro quale sia l'elemento discriminante tra le due figure così da permetterne la concreta e facile identificazione nelle varie fattispecie concrete.
Ai sensi del Regolamento UE 2016/679 (c.d. GDPR), con il termine "Titolare del trattamento" si vuole indicare la persona fisica o giuridica che detiene il potere decisionale in ordine alle finalità e alle modalità del trattamento. Si tratta di un ruolo che deriva dalla attività di trattamento che il soggetto concretamente svolge, non da investiture e nomine formali.
Il Regolamento suddetto nell'art. 24 introduce il principio di responsabilizzazione del Titolare stesso, in base al quale questo soggetto deve mettere in atto misure tecniche e organizzative per essere in ogni momento in grado di garantire e dimostrare il rispetto della normativa a tutela dei dati personali.
Ai sensi dell'art. 26 del GDPR è inoltre possibile che vi sia una situazione di contitolarità, qualora due o più Titolari determinino congiuntamente le finalità e i mezzi del trattamento. In questi casi, sarà un accordo interno tra i contitolari a sancire le rispettive responsabilità, a meno che queste non siano determinate dalla legge (europea o nazionale).
2. Il Responsabile del trattamento dei dati personali.
L'altra figura al centro della disciplina del Regolamento Europeo (art. 4, comma 1, n. 8) è quella del "Responsabile" del trattamento dei dati personali, ossia, la "persona fisica, persona giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".
Il Titolare, nell'incaricare un Responsabile del trattamento, deve preventivamente assicurarsi che questi adotti tutte le misure tecniche ed organizzative che garantiscano un livello di sicurezza del trattamento conforme alle disposizioni contenute nel GDPR.
I rapporti tra Responsabile e Titolare, inoltre, devono essere regolati da apposito contratto, contenente per iscritto i compiti e le responsabilità specifiche (natura, durata e finalità del trattamento assegnato, la tipologia di dati personali e le categorie di interessati) in base a quanto sancito all'art. 28, paragrafo 3, del Regolamento Europeo.
Più in particolare, il suddetto contratto non può prescindere dal prevedere: l'oggetto del contratto e la descrizione delle attività di trattamento che il Responsabile sarà tenuto ad effettuare per conto del Titolare; la durata del contratto; la specifica indicazione degli obblighi del Titolare del trattamento, avendo cura di specificare quelli indicati all'art. 28, paragrafo 3, del Regolamento Europeo; le modalità con cui deve essere rilasciata l'informativa all'interessato; la gestione delle richieste di esercizio dei diritti da parte degli interessati; l'individuazione del tempo massimo entro cui il Responsabile dovrà procedere alla notifica al Titolare delle violazioni dei dati personali intervenute; le misure tecniche ed organizzative ed, infine, gli obblighi cui è tenuto il Titolare del trattamento.
I compiti del Responsabile del trattamento dei dati personali sono ben individuati all' art. 28 del Regolamento Europeo , secondo cui questi deve: munirsi di un apposito registro dei trattamenti; adottare misure tecniche e organizzative per garantire la sicurezza dei trattamenti; designare eventualmente un RPD (Responsabile per la protezione dei dati); e, infine, redigere, entro il 31 marzo di ogni anno, il Documento Programmatico sulla Sicurezza.
Inoltre, l'art. 28, paragrafo 2, del Regolamento Europeo, prevede la possibilità per il Responsabile di far ricorso ad un c.d. sub-responsabile, ma ciò può realizzarsi a determinate condizioni. Difatti, la norma citata dispone che: "Il responsabile non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento".
La possibilità di avvalersi di un sub-responsabile richiede dunque: l'autorizzazione scritta del Titolare del trattamento, nonché, la stipula di un contratto tra il Responsabile e il sub-responsabile. Quest'ultimo, infatti, è tenuto a rispettare i medesimi obblighi contrattuali in materia di protezione dei dati che intercorrono tra il Titolare ed il primo Responsabile.
Per quanto attiene al profilo della responsabilità, il Responsabile risponde per eventuali danni causati agli interessati dal trattamento dei dati solo qualora non abbia adempiuto agli obblighi sanciti dal GDPR o nei casi in cui abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare (art 82 paragrafo 2 del GDPR).
Qualora Titolare o Responsabile del trattamento non siano stabiliti all'interno dell'Unione Europea, dovrà essere designato per iscritto un rappresentante nell'Unione, il quale dovrà essere stabilito in uno degli Stati Membri in cui si trovano gli Interessati.
3. Le principali caratteristiche che distinguono la figura del Titolare e del Responsabile del trattamento dei dati personali.
Alla luce di quanto precede, la caratteristica principale che distingue il Titolare dal Responsabile del trattamento dei dati consiste nell'autonomo potere decisionale effettivamente detenuto dal soggetto che, per tale ragione, dovrà essere qualificato come Titolare del trattamento. Detto potere decisionale si traduce nella facoltà di svolgere in maniera interamente autonoma ciò che riguarda le finalità e le modalità del trattamento dei dati personali.
In linea generale il Responsabile del trattamento gestisce i dati personali solo per conto del Titolare, ma come detto potrebbero configurarsi situazioni in cui le due figure non sono così distinte, ed allora è proprio in questi casi che occorre verificare in modo approfondito chi in concreto abbia un autonomo potere decisionale.
Inoltre, ai sensi dell'art 28 paragrafo 10 del GDPR, "se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione". È chiaro, quindi, che il discrimine tra le due figure risiede nella loro concreta attività di trattamento, prescindendo da valutazioni puramente formali.
4. La valutazione del ruolo del Titolare e del Responsabile del trattamento dei dati alla luce dell'ordinanza Cassazione civile Sez. I – 23.07.2021 n. 21234.
La questione esaminata dalla Corte con la recente ordinanza dello scorso luglio è l'occasione per esaminare concettualmente le due distinte figure del Titolare e Responsabile del Trattamento; per delineare i tratti distintivi e determinare le singole e rispettive responsabilità all'interno delle fattispecie concrete tramite l'enunciazione di un principio giuridico chiaro secondo cui: "elemento discriminante tra i due ruoli viene individuato nel valorizzare in concreto l'atteggiarsi dell'esercizio del potere decisionale autonomo dei soggetti coinvolti nel trattamento".
Il caso affrontato dalla Suprema Corte attiene in particolare alla qualificazione della società I. (rivenditore telefonico) come "titolare" del trattamento dati, quale presupposto per l'irrogazione della sanzione per le violazioni commesse nell'ambito di una indebita attivazione di contratti, schede o servizi telefonici non richiesti dagli interessati.
Nel caso di specie la sanzione amministrativa irrogata dal Garante per la protezione dei dati personali alla I. S.p.A. consisteva nel pagamento di euro 40.000,00. La condanna, come detto, deriva dall'accertamento dell'illecito commesso per trattamenti di dati personali finalizzati all'attivazione di schede telefoniche, intestate a cinque persone a loro insaputa e, quindi, senza aver reso agli stessi l'informativa di cui al D.Lgs. n. 196 del 2003, art. 13, prima della raccolta dei dati personali.
Il Tribunale di Milano, in primo grado, respinge l'opposizione proposta da I. ritenendo corretta la sanzione amministrativa irrogata. Arriva a tale conclusione richiamando il provvedimento del Garante per la privacy datato 26.09.2002 secondo cui è autonomo titolare del trattamento il rivenditore di servizi che in base alle clausole stipulate con il gestore non sia qualificabile come dipendente di questi, né parte della sua struttura imprenditoriale. Il Tribunale di Milano rinvia altresì all'ulteriore provvedimento del Garante Privacy datato 16.02.2006 che affronta l'esame dei rapporti tra operatori di telefonia ed agenti e rivenditori, dettando un principio molto importante cui si ispira la Corte di Cassazione nella ordinanza in commento, secondo cui: "Agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell'attivazione del servizio quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito. In tal caso, essi devono adempiere autonomamente agli obblighi previsti dal Codice, con particolare riferimento a quelli di informativa, di raccolta del consenso eventualmente necessario e dell'adozione di idonee misure di sicurezza. Gli operatori non possono trascurare comunque l'esigenza di assicurare adeguate verifiche su ogni categoria di figura esterna che, anche in qualità di titolare autonomo del trattamento, possa svolgere un ruolo nell'indebita attivazione di servizi".
Tale provvedimento valorizza il concreto atteggiarsi dell'esercizio del potere decisionale autonomo dei soggetti coinvolti nel trattamento quale elemento di discrimine tra la figura del Titolare e del Responsabile.
Secondo il Tribunale di Milano è stata accertata la violazione dell'obbligo di preventiva identificazione dell'assegnatario dell'utenza telefonica e dell'obbligo di rendere le informazioni di cui al D.Lgs. n. 196 del 2003 art. 13 agli interessati: "ogni rivenditore è dunque qualificabile quale autonomo titolare del trattamento dei dati personali quando, come nel caso di specie, persegua in maniera del tutto indipendente una finalità commerciale (vendita di servizi telefonici), restando indifferente che tale specifica finalità non sia quella prioritaria (se non esclusiva) del dealer".
A seguito del rigetto da parte del Tribunale di Milano, viene poi presentato ricorso con cui I. denuncia la violazione del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. f) e g) artt. 13, 28, 29 e 161 per aver il Tribunale attribuito erroneamente alla ricorrente la qualifica di Titolare del trattamento dei dati personali prevista dal Codice della privacy, con conseguente irrogazione alla stessa della sanzione amministrativa.
La ricorrente sostiene difatti di essere stata ritenuta erroneamente Titolare, mentre tale posizione avrebbe dovuto essere riconosciuta in capo al gestore di telefonia. In altre parole, essa rivendica di aver rivestito la qualifica di Responsabile.
La Suprema Corte, nella ordinanza in commento, dopo aver effettuato una preliminare disamina sulla riconducibilità dei dati trattati nella fattispecie concreta ai c.d. dati personali, si sofferma sul concetto di "Titolare del trattamento" individuando la caratteristica principale che lo connota nel potere decisionale: "soggetto cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità e agli strumenti utilizzati, ivi compreso il profilo della sicurezza", come si evince dal D.Lgs. n. 196 del 2003, art. 4, lett. f).
La Corte arriva ad affermare che "può far valere la qualità di responsabile del trattamento solo il soggetto che sia stato preposto al trattamento del titolare e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne deriva che ove ciò non avvenga il "responsabile" potrà essere riconosciuto come "titolare" in concreto del trattamento, in ragione dell'autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del titolare ".
Le modifiche apportate all'art. 29 (introduzione del comma 4 bis e modifica comma 5) dalla legge n. 167 del 2017 confermano, aggiunge la Corte, detto risultato, in quanto meglio esplicitano a cosa siano distintamente tenuti i Titolari e i Responsabili del trattamento, stabilendo che "I titolari: stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità del trattamento. Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4 bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4 bis ".
La Corte pertanto conclude che "In tema di protezione dei dati personali, in caso di preposizione di un soggetto al trattamento dei dati su incarico del titolare è necessario che l'effettivo trattamento dei dati da parte del preposto si svolga nell'osservanza delle istruzioni impartite dal titolare, con la conseguenza che, ove non vi sia tale osservanza, il responsabile potrà essere riconosciuto come effettivo titolare, responsabile in concreto del trattamento, in ragione dell'autonomia decisionale e gestionale manifestata nell'aver disatteso le disposizioni impartite dal titolare ".
Sulla base di detto ragionamento anche la Suprema Corte perviene così alle stesse conclusioni del Tribunale di Milano affermando che l'esplicazione di un autonomo potere decisionale di I., nell'inosservanza delle disposizioni concernenti l'acquisizione del consenso informato al trattamento dei dati da parte degli ignari intestatari delle schede telefoniche, sia sufficiente a confermare da solo la qualità di "titolare" del trattamento in concreto.
____
*A cura dell'Avv. Marco Martorana, Studio Legale Martorana