Individuare i fornitori che devono essere nominati come responsabile del trattamento dei dati personali è una faccenda spinosa per le imprese che si adeguano al GDPR. Incontrano difficoltà soprattutto micro e piccole aziende: ecco dunque un vademecum per affrontare la situazione e capire gli aspetti normativi e pratici di questo ruolo.
Indice degli argomenti
I compiti del titolare
Ciò che la norma richiede all’azienda-titolare è di individuare tutti quei soggetti che trattano dati personali per suo conto e formalizzare con questi, in un atto giuridico vincolante, le condizioni del trattamento, istruendoli su alcuni aspetti ritenuti dalla norma qualificanti.
Il titolare dovrà, come minimo, chiedere al proprio fornitore-responsabile di attenersi strettamente alle sue indicazioni in merito alla natura dei dati da trattare ed alle categorie di interessati, alle finalità del trattamento e alla durata dello stesso. Inoltre, il responsabile dovrà garantire di aver adottato misure tecniche ed organizzative adeguate a garantire che i dati personali siano trattati in modo sicuro, come richiesto dall’art. 32 del GDPR.
L’elenco puntuale dei contenuti necessari dell’atto di nomina è contenuto nelle previsioni di cui all’art. 28, comma 3, del Regolamento.
Questo fondamentale adempimento pone, tuttavia, alcune problematiche sostanziali che spesso costituiscono, in special modo per le micro e PMI, degli ostacoli di notevole portata. In primo luogo, infatti, il referente aziendale per la GDPR compliance dovrà scorrere l’elenco dei fornitori della propria azienda e selezionare quelli che trattano dati personali. Successivamente, occorrerà definire correttamente l’atto di nomina e, passaggio critico, persuadere i soggetti individuati a sottoscrivere un atto vincolante ulteriore rispetto all’atto principale. Ciò implica, prima di tutto, un notevole sforzo interpretativo delle previsioni normative; in secondo luogo, è richiesto uno sforzo ragguardevole in termini operativi, con impiego di tempo e risorse (personale) non indifferente, soprattutto laddove i soggetti individuati come responsabili superino le poche unità e differiscano per servizi erogati.
Spesso, inoltre, i soggetti destinatari delle nomine ne rifiutano, in prima battuta, o procrastinano la sottoscrizione, magari perché totalmente ignari della mandatorietà di questo adempimento o perché erroneamente persuasi che la mancata sottoscrizione dell’accordo di nomina li esima dalle responsabilità conseguenti alla loro qualifica di responsabili del trattamento di dati personali.
Responsabile del trattamento: la situazione delle piccole realtà
Appare abbastanza intuitivo come per realtà piccole o micro, nelle quali le risorse (personale, budget, tempo) sono fortemente limitate, tale attività ponga sfide di non facile superamento. Ciò anche in considerazione del fatto che spesso i rapporti di forza contrattuali non riflettono per nulla la relazione gerarchica scaturente dalla normativa sulla privacy. Non è infatti raro che il titolare (che, dal punto di vista del GDPR, dovrebbe imporre le proprie istruzioni) abbia, di fatto, un potere contrattuale inferiore al responsabile il quale, magari è una realtà imprenditoriale ben più strutturata della prima. In questi casi, laddove il responsabile rifiuti una firma, le leve a disposizione del titolare per imporsi sono veramente scarse.
Non solo, spesso accade che i titolari, anche se nelle condizioni idonee, non siano disposti a praticare un hard enforcement nei confronti dei loro responsabili perché legati ad essi da rapporti fiduciari di lunga durata che rendono impraticabile ai loro occhi l’ipotesi di far valere, in caso di mancata firma, il loro diritto di rivolgersi ad altri fornitori che eroghino gli stessi servizi e siano disposti a “mettersi in regola” con la privacy.
Come agire, dunque, per evitare casi di impasse che paralizzino interi processi del business aziendale, se non l’intera organizzazione? Se, da un lato, è utile ricordare che l’elevata specificità della materia suggerisce sempre di avvalersi di un consulente legale (o personale legale interno) altamente qualificato per competenze ed esperienza in materia di GDPR compliance, è certamente utile chiarirsi le idee in modo tale da poter dialogare con maggiore efficacia con lo specialista, presentando a quest’ultimo i problemi in modo circostanziato e puntuale, senza mai pretendere di sostituirsi ad esso nel suo campo.
Titolare e responsabile del trattamento: differenza tra i ruoli
In primo luogo, dunque, occorrerà avere chiare le nozioni di titolare e responsabile del trattamento. Il primo, in base alla definizione proposta dall’art. 4, par. 1, punto 7) del Reg. (UE) 2016/679, è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Il secondo, a leggere la definizione proposta dal punto 8) della stessa norma, è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Per tradurre in modo fruibile a tutti il concetto, si assuma ad esempio il settore della gestione delle risorse umane. Nel rapporto datore di lavoro – dipendente, il datore di lavoro tratta dati personali del dipendente sulla base di un contratto tra loro stipulato al fine di rispondere ad una sua esigenza (avvalersi di forza lavoro erogando le prestazioni contrattualmente previste ed adempiendo ad obblighi di legge).
Il datore di lavoro è, dunque, titolare del trattamento, poiché il trattamento dei dati di persone fisiche (lavoratori) trova fonte in una sua decisione. Se, tuttavia, il datore di lavoro, ai fini dell’elaborazione di buste paga, volesse ricorrere ai servizi di uno studio paghe, quest’ultimo tratterebbe sì i dati dei lavoratori, ma lo farebbe “per conto” del datore, poiché non avrebbe nessun interesse autonomo a trattare quei dati. Lo studio paghe assumerebbe, dunque, in merito al trattamento dei dati del personale dei propri clienti, la qualifica di responsabile del trattamento. Lo stesso ragionamento potrebbe essere riferito anche al commercialista, allo sviluppatore di servizi IT, all’agenzia di recruiting, tutti delegati dall’azienda ad eseguire processi specifici per proprio conto.
Il responsabile del trattamento, dunque, ai sensi del già citato art. 4, par. 1), lett. 8) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
È molto importante ricordare che tali qualifiche non sono statiche e che lo stesso soggetto possa essere, allo stesso tempo, titolare e responsabile per diversi trattamenti che pone in essere. Nell’esempio precedente (come anche confermato dal Garante in una recente pronuncia in materia) lo studio paghe sarà responsabile del trattamento dei dati personali dei dipendenti dei propri clienti ma, allo stesso tempo, titolare del trattamento dei dati personali dei propri dipendenti. Centrale, infatti, è il trattamento e non i soggetti che ruotano attorno allo stesso.
In molti casi, tuttavia, le prestazioni erogate dal fornitore non configurano in modo palese una delle due fattispecie descritte ed occorre, perciò, indagare con maggiore attenzione le circostanze di fatto e ricondurle ai criteri di differenziazione proposti dalle norme.
In tal senso, assume funzione dirimente il richiamato punto 7) dell’art. 4, par. 1), laddove individua nella determinazione delle “finalità e dei mezzi del trattamento” la peculiarità del titolare. Tale formulazione astratta, calata nella pratica quotidiana, pone problematiche interpretative che sono spesso fonte di disaccordo e rifiuto di sottoscrivere la nomina da parte dei responsabili.
L’interpretazione delle norme
Per interpretare, dunque, in concreto questa formulazione prescrittiva astratta, occorre in primo luogo premettere che la qualifica di titolare o responsabile discende direttamente dalle circostanze di fatto relative al trattamento di dati. È, cioè, profondamente errato ritenere che sia l’accordo di nomina ad attribuire il ruolo di “responsabile” o “titolare” ad un soggetto. Se si decidono (nei termini che si vedranno tra poco) finalità e mezzi del trattamento si è titolari a prescindere dall’esistenza e dalla correttezza di una nomina, così come, se si trattano dati per conto e su delega altrui, si è responsabili del trattamento a prescindere dall’esistenza e dalla correttezza di una nomina.
Occorre, poi, chiarire che tali qualifiche non sono disponibili e, cioè, contrattabili. Capita di sentirsi riferire da clienti che “il fornitore X non vuole (attenzione, non “vuole”, il che è diverso da “non ritiene di…”) essere responsabile del trattamento” o che “il cliente X non vuole essere titolare del trattamento”. Simili pretese non trovano alcun riscontro nelle previsioni normative che fanno discendere dalle circostanze di fatto, e non dalla volontà delle parti, la qualifica di titolare e responsabile.
Premesso ciò, è utile chiarire cosa intenda la norma quando parla di soggetto che determina le finalità e i mezzi del trattamento. Utile, in tal senso, è quanto esposto nell’Opinion 1/2010 dell’ex WP29, oggi EDPB, relativa proprio alle figure di titolare e responsabile. Tale pronuncia interpretativa, infatti, precisa che “the crucial question is therefore to which level of details somebody should determine purposes and means in order to be considered as a controller”. La questione è centrale, infatti le nozioni di finalità e mezzi non sono di per sé particolarmente vaghe, ciò che è più sfuggente è a che livello di dettaglio si debba ritenere che queste siano definite al fine di qualificare un soggetto come titolare. La finalità del trattamento corrisponde, sempre secondo la citata Opinion, alla risposta alla domanda “perché il trattamento è effettuato?”.
Nell’esempio proposto in precedenza in merito ai trattamenti di dati di lavoratori, il trattamento è effettuato perché il datore di lavoro ha necessità di eseguire un contratto (e di avvalersi lecitamente di forza lavoro). Il trattamento di dati ai fini dell’elaborazione di cedolini è dunque effettuato nell’interesse del datore di lavoro, e non avrebbe ragione di essere effettuato dallo studio paghe se non su sua richiesta.
Poco importa se, in ragione del proprio know-how specializzato, sarà lo studio paghe a definire delle sotto-finalità del trattamento (es. specifici adempimenti normativi in materia giuslavoristica). Quest’ultimo non avrebbe ragione d’esistere se non vi fosse il rapporto principale tra datore di lavoro (titolare) e lavoratore (interessato). Lo studio paghe, cioè, tratta i dati “per conto” del datore di lavoro. Ciò significa anche che il datore di lavoro “sceglie” di affidare a un terzo il trattamento di dati nel suo interesse.
Per meglio comprendere quest’ultimo passaggio, può essere utile domandarsi se il titolare potrebbe – volendo – decidere di non effettuare quel trattamento o effettuarlo da sé. Se la risposta è positiva, è probabile che il soggetto che tratta i dati sia un responsabile del trattamento. Trattasi, infatti, di un soggetto al quale è affidata, nell’ambito di un contratto di servizi, di outsourcing, di fornitura o di altra natura, un’attività che consiste (o che prevede come inscindibile) il trattamento di dati.
Qualora, invece, il titolare non potesse conseguire la stessa finalità trattando i dati autonomamente, né potesse scegliere di non conseguire quella finalità, allora è possibile che il soggetto che tratta i dati sia un autonomo titolare. L’esempio, nel caso di specie, è quello della banca oppure dell’avvocato che tratta i dati nell’ambito della propria attività di patrocinio presso le Autorità giurisdizionali (v. pronuncia ICO 20140506, punto 27).
Ruoli e mezzi
Riassumendo con una massima esperienziale, il titolare del trattamento è colui che determina la fonte del trattamento (ad esempio, il contratto di lavoro) e il responsabile è colui che tratta i dati per conto e su delega del titolare laddove quest’ultimo potrebbe decidere di trattarli autonomamente o di non trattarli del tutto. Il responsabile, cioè, è colui che – premessa l’esistenza del rapporto principale – riceve l’incarico di trattare quei dati nello “svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.)” (Cfr. Garante Privacy, 22.01.2019, Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016).
Per quanto concerne i mezzi, invece, la citata Opinion del WP29 afferma che “Determination of the “means” therefore includes both technical and organizational questions where the decision can be well delegated to processors (as e.g. “which hardware or software shall be used?”)” e ancora “determining the means would imply control only when the determination concerns the essential elements of the means. In this perspective, it is well possible that the technical and organizational means are determined exclusively by the data processor”.
In estrema sintesi, ancora una volta ciò che rileva è la determinazione degli aspetti essenziali dei mezzi del trattamento. Determinare i mezzi potrebbe anche consistere (ed in molti casi è così) nella scelta di affidarsi ad uno specifico outsourcer/fornitore qualificato per il trattamento in questione (magari anche in ragione dei mezzi di cui egli vanta di disporre in rapporto alla concorrenza).
Ciò rileva sotto due diversi profili. Da una parte impedisce di rigettare la qualifica di responsabile del trattamento in ragione solo del fatto che si determinano i mezzi concreti del trattamento (il consulente che sceglie quale software usare o come organizzare i propri dipendenti), dall’altra libera il responsabile dall’insensato timore che, facendosi nominare tale, debba tollerare ingerenze ingiuste e generalizzate nella propria organizzazione interna da parte del titolare.
I rapporti con il fornitore
Una volta individuati correttamente i soggetti che, su delega della propria azienda, trattano dati personali, occorre sottoporre a questi una nomina e definirne i contenuti che, in buona parte, saranno “pretese” del titolare in merito alla sicurezza del trattamento e, per il resto una definizione del perimetro del trattamento. In questo senso, è bene valutare attentamente il rapporto che, in concreto, lega il soggetto-titolare con il proprio fornitore-responsabile. Infatti, per le ragioni descritte in apertura, occorre da una parte preservare i buoni rapporti con fornitori ai quali non si è disposti a rinunciare e, dall’altra, tutelarsi da possibili contestazioni derivanti dalla mancata o inadeguata nomina (responsabilità del titolare, passibile di sanzioni ex art. 83, par. 4, fino a 10 milioni di euro o 2% del fatturato mondiale annuo). Per ciò, è consigliabile accertarsi che il fornitore recalcitrante conosca la normativa in materia di privacy (o sia assistito da un soggetto che la conosca) e, in caso negativo, renderlo edotto della stessa. In particolare, sarà opportuno renderlo cosciente del fatto che, a prescindere dalla formalizzazione mediante la nomina, in capo a lui sorgerà comunque, ex lege, la qualifica di responsabile del trattamento.
In secondo luogo, occorrerà adottare una strategia di enforcement ponderata in base all’equilibrio di potere contrattuale e alla propria propensione a forzare i rapporti con il fornitore. In alcuni casi si potrà pretendere una firma lasciando intendere che, in mancanza, si procederà a rivolgersi ad altri fornitori per lo stesso servizio. In altri casi, ed in particolare se il fornitore dovesse contestare punti specifici dell’atto di nomina, si potrà valutare di concordare con lui una nuova formulazione degli stessi, purché compatibile con quanto richiesto dall’art. 28, comma 3. Eventualmente, in casi estremi, si potrà valutare di sottoporre al fornitore una nomina estremamente “light”, nella quale si propongono istruzioni sul trattamento estremamente sintetiche, il più possibile generiche pur entro i limiti consentiti dalla normativa vigente in materia di privacy e, sempre, tenendo presente eventuali pronunce settoriali e specifiche dell’Autorità Garante (si pensi alla disciplina articolata in materia di amministratori di sistema).
In ogni caso, è consigliabile assistere il fornitore nella compilazione della nomina, in particolare nelle indicazioni caratterizzanti il trattamento (dati trattati, finalità ed altre caratteristiche) in modo da non apparire “ostili” e spiegare che tale adempimento non trova fonte nel proprio desiderio di scaricare responsabilità su di esso ma in esplicite previsioni normative cogenti, dalle quali è impossibile esimersi senza rischiare gravi conseguenze. In questo modo, si sarà certi di aver effettuato tutto quanto in proprio potere affinché le previsioni normative vengano applicate correttamente e, nella maggior parte dei casi, si perverrà ad un accordo utile, peraltro, ad accrescere la rispettiva consapevolezza in materia di sicurezza del trattamento.
Negli altri casi, laddove l’esito fosse negativo, si dovrà valutare l’ipotesi di interrompere il rapporto per evitare sanzioni e richieste risarcitorie ben fondate e, comunque, tenendo traccia degli scambi intercorsi, si potrà dimostrare di aver fatto il possibile per adempiere alla norma, fattore utile quale elemento idoneo a ridurre l’ammontare della sanzione eventualmente erogata dal Garante in caso di accertamento della violazione (cfr. GDPR art. 83, par. 2, lett. b), c), d)).
