Privacy, la corretta qualificazione giuridica del rapporto con i professionisti per prevenire sanzioni e responsabilità
La corretta qualificazione mette il titolare al riparo dell’ingiustificata nomina a Responsabile di consulenti, fornitori e professionisti per situazioni che invece avrebbero dovuto essere qualificate come titolarità autonoma, prevenendo conseguenze giuridiche anche rilevanti
Sempre più spesso le imprese si trovano nella posizione di dover esternalizzare funzioni aziendali e questo comporta necessariamente che abbiano luogo trattamenti di dati personali “per conto” del titolare. Le imprese però, al momento della conclusione del contratto, sono dubbiose su come qualificare il rapporto a fini privacy con alcune figure, come il commercialista, il consulente del lavoro, il responsabile del servizio di prevenzione e protezione – RSPP, il medico competente, il collegio sindacale, l’Organismo di Vigilanza o, addirittura, il Data Protection Officer. L’articolo si propone di fornire una guida operativa all’azienda per poter qualificare correttamente i rapporti con questi (ed altri) fornitori, cercando così di prevenire sanzioni e responsabilità.
Una delle figure più importanti introdotte dal GDPR è quella del Responsabile del trattamento, definita dall’art. 4 comma 1 punto 8) del provvedimento, che così recita: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare”. Dalla definizione si desume che sia prevista un’attività di trattamento fatta dal Responsabile al posto del Titolare e su indicazione di quest’ultimo.
L’art. 28 del GDPR ne delinea i contorni, affermando che il titolare debba ricorrere a Responsabili che “…presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato”.
Il Responsabile per ricorrere ad altri subfornitori nel trattamento dati per conto dei Titolare deve ottenere l’autorizzazione di questo e i rapporti tra Titolare e Responsabile devono essere regolati con apposito contratto redatto in forma scritta. Questo atto giuridico deve stabilire quali siano i trattamenti delegati, la loro durata, il tipo di dati personali processati e le categorie di interessati coinvolti, oltre agli obblighi e ai diritti del Titolare.
Il comma 3 dell’art. 28 del GDPR stabilisce altresì che il Responsabile “tratti dati personali soltanto su istruzione documentata del Titolare”, garantisca la riservatezza da parte dei propri addetti, adotti le misure di sicurezza di cui all’art. 32 GDPR e fornisca assistenza al Titolare in caso di richieste da parte dell’interessato o nel caso in cui si verifichi una violazione di dati personali o anche solo gli assicuri supporto per dimostrare il rispetto degli obblighi stabiliti.
Naturalmente al termine del contratto il Responsabile dovrà cancellare tutti i dati oggetto del trattamento svolto in vece del Titolare, in quanto sarà venuta meno la ragione del trattamento dati “per conto” di quest’ultimo. La fattispecie così risulta regolata in modo molto accurato e se ne comprende anche la ragione. Il GDPR infatti prevede che, laddove il Titolare intenda esternalizzare un trattamento di dati personali, dovrà verificare l’affidabilità del soggetto a cui si affida, vincolarlo contrattualmente dando precise indicazioni su come tale trattamento in outsourcing dovrà essere effettuato e anche controllare periodicamente che le indicazioni fornite siano rispettate attraverso audit periodici presso il Responsabile. Il quadro normativo mira evidentemente a garantire che le esternalizzazioni di trattamenti avvengano in un regime stringente di controlli e garanzie per gli interessati.
Invero anche il Codice della Privacy (D.Lgs. 196/2003) all’art. 29, oggi abrogato dal D.Lgs. 101/2018, prevedeva la figura del responsabile la cui designazione era però facoltativa e nel merito veniva data solo una generica indicazione sul fatto che questi dovesse operare su indicazioni del Titolare. E’ facile comprendere come i contorni di tale figura fossero diversi, nonostante la denominazione fosse identica. Ed è forse questa omonimia che ha causato negli ultimi due anni un diffuso equivoco applicativo sulla figura del Responsabile come definita dal GDPR. Infatti abbiamo assistito al costume delle nomine “a pioggia” di tutti i fornitori a responsabile anche, molto spesso, in assenza dei requisiti stabiliti dall’art. 28 sulla base di un generico riferimento al fatto che il fornitore di beni o servizi trattasse incidentalmente dati personali di cui il cliente era titolare. Sono stati sottoscritti moltissimi accordi di nomina a Responsabile in situazioni di fatto che invece avrebbero dovuto essere qualificate come titolarità autonoma con rilevanti conseguenze sul piano giuridico. In questo caso specifico la nomina c.d. “ad abundantiam” infatti non va nella direzione della tutela delle parti coinvolte, anzi spinge proprio in una direzione opposta.
Un aiuto fondamentale per la corretta interpretazione e applicazione operativa della figura del Responsabile ex art. 28 del GDPR ci è venuto dalle Linee Guida 07/2020 sui concetti di Titolare e Responsabile adottate il 2 settembre 2020 dal EDPB, European Data Protection Board. Questo documento, attraverso numerosi esempi pratici di situazioni concrete, aiuta a comprendere in quali casi sia obbligatoria la nomina a Responsabile e in quali casi invece ci si trovi in una situazione di autonoma titolarità o di contitolarità. Gli esempi sono numerosi e facilitano la comprensione di che cosa il legislatore intendesse con “trattamento dati per conto” del titolare. Ad esempio l’attività di manutenzione e assistenza IT la cui finalità sia solo quella di aggiornare o riparare malfunzionamenti hardware o software, anche qualora questo comporti accesso ai dati del Titolare, non giustifica la nomina a Responsabile del fornitore. Laddove invece tra le parti si concluda un contratto di fornitura in outsourcing di sistemi IT intesi come gestone esternalizzata di macchine, software, caselle di posta elettronica, rete, server ed altro, in questo caso la situazione di fatto giustificherebbe la nomina del fornitore a Responsabile.
La mera attività di promozione commerciale che svolgono gli agenti di commercio poi non vale di per sé a giustificare la nomina, mentre l’attività di cessione a terzi di un database da parte del Titolare per lo svolgimento di attività di telemarketing diretto richiede la nomina ai sensi dell’art. 28 del GDPR.
Il principio di riferimento è quello della “esternalizzazione” di un trattamento, che viene portato fuori dall’azienda e per questo suo allontanamento risulta meritevole di essere regolato da un accordo ad hoc a tutela del Titolare e degli interessati coinvolti. Vengono quindi in evidenza, sempre sotto il profilo in esame, i rapporti dell’azienda con i professionisti esterni e le figure di garanzia previste dalla normativa. La qualificazione giuridica del rapporto tra titolare e professionista a fini privacy è fondamentale per gestire in modo corretto i trattamenti di dati personali, anche particolari ex art. 9 o giudiziari ex art. 10 del GDPR, che il mandato può comportare.
Partendo dagli avvocati, certamente l’attività di tutela giudiziale, essendo attività riservata a professionisti iscritti all’albo ed essendo regolata da normativa speciale, non comporta l’obbligo di nomina del professionista ex art. 28 del GDPR.
Diverso deve essere invece il discorso nel caso di attività stragiudiziale o di consulenza che, laddove generi l’esternalizzazione di un intero trattamento, può certamente dare luogo ad un’opportuna nomina a Responsabile.
Per quanto attiene poi all’attività dei dottori commercialisti, il discorso è simile a quello fatto per gli avvocati: le attività riservate ai professionisti iscritti all’albo non prevedono l’obbligo di nomina, la consulenza può dare luogo a nomina laddove preveda l’esternalizzazione sul professionista di un intero trattamento. In questo caso specifico si pensi, ad esempio, alla fornitura del servizio di tenuta delle scritture contabili in outsourcing.
Abbiamo poi il caso di figure di controllo e garanzia previste esplicitamente dalla normativa, come i sindaci e i revisori contabili. Questi agiscono in qualità di autonomi titolari nello svolgimento delle funzioni a loro riservate da disposizioni normative.
I consulenti del lavoro sono stati oggetto di un provvedimento del Garante (Risposta del Garante all’Associazione Consulenti del Lavoro su l’elaborazione dei cedolini paga del 22 gennaio 2019) avente ad oggetto l’esternalizzazione dell’attività di elaborazione dei cedolini paga aziendali. L’indicazione del Garante è quella di procedere con la nomina a Responsabile ex art. 28 del GDPR. Bisogna riconoscere però che talvolta, nella pratica, risulta difficile distinguere tra le due casistiche (titolarità autonoma o responsabilità del trattamento) ma certamente, in ogni caso, il principio ispiratore dovrà essere quello della massima estensione della tutela dei dati personali e dei diritti degli interessati.
In ambito di gestione della salute e sicurezza in azienda vengono in evidenza le figure del Responsabile del Servizio di Prevenzione e Protezione - RSPP, del Responsabile dei Lavoratori per la Sicurezza - RLS e del Medico Competente.
Nel primo caso, se professionista esterno all’azienda, in ragione della quantità e qualità dei dati personali trattati (anche particolari ai sensi dell’art. 9 del GDPR legati alla salute e agli infortuni sul lavoro) si può ipotizzare una nomina a Responsabile in relazione alle attività di consulenza tecnica che questo svolge a favore del datore di lavoro. L’accordo di nomina quindi sarà accessorio al contratto di fornitura del servizio e dovrà contenere al suo interno tutte le indicazioni operative a cui il RSPP si dovrà attenere nell’accesso ai dati di cui è titolare l’azienda.
Il RLS invece, essendo per definizione un lavoratore interno all’organigramma aziendale, non dovrà essere nominato in quanto soggetto autorizzato dal Titolare.
Soggetto esterno al rapporto di lavoro, ma che effettua un trattamento dei dati del lavoratore, è anche il medico competente. Il Garante della Privacy ha chiarito, nella Relazione presentata in Parlamento nel giugno 2020, che il rapporto intercorrente tra lavoratore e medico competente dell’azienda sia esclusivo rispetto al datore di lavoro e, pertanto, il professionista è configurato come Titolare del trattamento autonomo rispetto al datore di lavoro stesso. I classici flussi di dati personali che si instaurano tra datore di lavoro e medico competente, si intendono tecnicamente come “comunicazioni” di dati personali. E non potrebbe essere altrimenti, visto che per i dati particolari dei lavoratori (diagnosi) vige il divieto di comunicazione al datore di lavoro, dovendosi questo limitare all’invio del certificato di idoneità alla mansione.
Per quanto attiene invece all’Organismo di Vigilanza ex D.Lgs. 231/2001, la sua qualificazione giuridica a fini privacy deve essere definita avendo ben chiaro che tale organo risulta essere parte integrante dell’organizzazione aziendale, indipendentemente dal fatto che l’ODV sia composto da soggetti interni o esterni a questo. I trattamenti di dati personali che l’ODV si troverà ad effettuare in esecuzione del proprio ruolo saranno consentiti in ragione di un incarico che il Titolare fornirà ai singoli componenti in adempimento di quanto prescritto dall’art. 2 quaterdecies del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2008. La lettera d’incarico conterrà i diritti e gli obblighi del membro dell’ODV e i trattamenti a cui avrà accesso, immaginando un accesso praticamente illimitato a tutti i dati personali per consentirgli di effettuare efficacemente la propria attività di vigilanza. Ragionamento analogo deve essere fatto anche per il Responsabile per la Gestione delle Segnalazioni Whistleblowing, figura attigua e assimilabile all’ODV con competenze specifiche previste dalla normativa obbligatoria (D.Lgs. 24/2023).
Da ultimo un cenno deve essere necessariamente fatto alla figura del Responsabile della Protezione dei dati (RPD) o Data Protection Officer (DPO) previsto dall’art. 37 del GDPR. Per questa figura, che effettivamente ha accesso potenziale a tutti i dati aziendali, bisogna osservare come sia oggetto di una norma speciale rispetto a quanto previsto dall’art. 28 GDPR. Quindi la formalizzazione dell’incarico del DPO (ove soggetto esterno, si intende) avverrà attraverso la sottoscrizione un accordo di servizi contenente la nomina e di una lettera di incarico (in quanto soggetto organico all’azienda). Questi documenti risultano essere esaustivi per regolare i trattamenti di dati che questi svolge nell’esercizio delle sue funzioni.
La corretta qualificazione giuridica dei rapporti mette il titolare al riparo dell’ingiustificata nomina a Responsabile di consulenti, fornitori di servizi e professionisti per situazioni che invece avrebbero dovuto essere qualificate come titolarità autonoma. E la nomina ingiustificata non è priva di conseguente giuridiche rilevanti. Immaginiamo il caso in cui un professionista venga nominato responsabile indebitamente, venga sottoscritto un accordo pieno di obblighi reciproci e poi a tutto quanto contenuto nell’accordo non venga data esecuzione effettiva. Mi riferisco ad esempio al diritto del Titolare di controllare che il Responsabile si attenga alle indicazioni operative ricevute, se poi questo fornitore si rendesse responsabile di trattamenti illeciti, il Titolare potrebbe essere ritenuto responsabile a titolo di culpa in eligendo o di culpa in vigilando. Quindi certamente questi atti giuridici non possono essere ritenuti privi di effetti, talvolta anche rilevanti, e devono sempre essere sottoscritti con cognizione di causa da parte dei soggetti coinvolti.
In conclusione, il suggerimento è quello di valutare sempre con grande attenzione la situazione di fatto che i rapporti tra cliente, fornitore di servizi o professionista generano e di utilizzare grande prudenza nella definizione della qualificazione giuridica soggettiva a fini privacy dei ruoli delle parti coinvolte. Non bisogna perdere di vista la finalità della norma, che è quella di regolare e tutelare gli interessati nel caso in cui trattamenti di dati personali che li riguardano vengano esternalizzati dal Titolare avvalendosi della collaborazione di altri soggetti. L’outsourcing non potrà mai essere realizzato mettendo a rischio la tutela dei dati personali degli interessati.
______
*A cura dell’Avv. Lorenzo Perino - amministratore di Lext Consulting e Of Counsuel di Lexpertise
-U23173112173XnL-735x735@IlSole24Ore-Web.jpg?r=86x86)
