Nonostante il Regolamento UE n. 2016/679 in materia di protezione dei dati personali, più noto come “GDPR”, sia ormai pienamente applicabile dal 25 maggio 2018, numerosi sono i dubbi interpretativi che ancora permangono per imprenditori e professionisti che, quotidianamente, sono tenuti a rinnovare il corretto atteggiamento proattivo in tema di trattamenti di dati richiesto dalla normativa (cosiddetta “accountability”). Uno di questi rimane, sicuramente, la nomina del responsabile del trattamento.
Indice degli argomenti
La nomina del responsabile del trattamento, post GDPR
Uno dei temi centrali dell’applicazione della “nuova” disciplina comunitaria riguarda la gestione del rapporto tra il “titolare del trattamento” (c.d. “data controller”), cioè la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, par. 1, n. 7) ed il “responsabile del trattamento” (c.d. “data processor”), cioè la persona fisica o giuridica, il servizio o altro organismo che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8).
Ed infatti, dal un lato il GDPR indica con adeguata precisione – anche più dettagliatamente rispetto al sopravvissuto Codice Privacy – le caratteristiche dell’atto con cui il titolare designa un “responsabile del trattamento”, attribuendogli specifici compiti, stabilendo che deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale) e che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
D’altra parte, però, il regolamento nulla riferisce in merito alla gestione di tale designazione da un punto di vista operativo e alle conseguenze di un eventuale rifiuto di detta nomina in termini di distribuzione delle responsabilità e ricadute specifiche sulla figura del titolare.
Ed infatti, molto spesso i soggetti esterni all’azienda che, per l’appunto, in ragione della natura delle attività che prestano in favore del titolare su delega di quest’ultimo, rientrano di fatto nel novero dei responsabili del trattamento, anche se legati professionalmente al titolare da rapporti ormai pluriennali quali fornitori di servizi in outsourcing indispensabili per l’attività aziendale, accolgono con diffidenza i tentativi di nomina ex art. 28, arrivando fino a procrastinare all’infinito od anche rifiutare esplicitamente di sottoscrivere l’atto richiesto sulla base di argomentazioni troppo spesso inappropriate e volte ad eludere il loro ruolo e le responsabilità connesse.
Tali situazioni di apparante stallo potrebbero, in prima battuta, portare l’azienda ad esporsi ad ipotetiche violazioni della normativa in materia di protezione dei dati oltre che, in ogni caso, generare contrasti del tutto evitabili e incrinare rapporti strategici consolidati a tutto svantaggio dell’attività aziendale.
Nomina del responsabile del trattamento: linee guida
Ma tornando alla lettera della norma, è ben chiaro come se da un lato è corretto che il titolare debba “designare” quale responsabile del trattamento – con idoneo atto giuridicamente vincolante – il soggetto di cui si avvale per ottenere servizi che comportano inevitabilmente il trattamento di dati personali, anche in via incidentale e solo a scopi tecnici, in realtà il GDPR (art. 28) non parla di una vera e propria “nomina”, bensì come sopra ricordato si limita a stabilire che i trattamenti del responsabile debbano essere disciplinati dall’atto vincolante sopra descritto e quali contenuti “minimi” debba avere tale disciplina.
Se pertanto col contratto ex art. 28 il titolare individua formalmente il responsabile e gli conferisce delega alla concreta gestione del trattamento, la mancata sottoscrizione di detto accordo non può certo esimerne i destinatari dai compiti e dalle responsabilità conseguenti alla loro qualifica di fatto come responsabili del trattamento di dati personali.
Il responsabile del trattamento è infatti tale – in base alla definizione che ne dà il Regolamento all’art. 4 par. 1 lett. 8) – in ragione dello “svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione, v. considerando 81, Reg. cit.), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare” (cfr. Risposta del Garante a quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del GDPR – 22 gennaio 2019).
Ne consegue che gli imprenditori nonché a maggior ragione i loro fornitori e consulenti dovrebbero tenere a mente che la qualifica di responsabile del trattamento discende direttamente dalle circostanze di fatto relative al rapporto tra le parti e all’attività di trattamento di dati svolta e non dalla stipula di un accordo scritto che, sebbene auspicabile, non fa altro che formalizzare (precisandone contenuti e limiti) una situazione di rilevanza giuridica sostanzialmente già in essere.
Dall’analisi della normativa applicabile, si evince allora che sarebbe profondamente errato ritenere che sia l’accordo di nomina ad attribuire il ruolo di “responsabile” ad un soggetto, con ogni conseguenza del caso in termini di obblighi e soprattutto responsabilità verso interessati e titolare.
Se si trattano dati per conto e su delega altrui, si è insomma responsabili del trattamento a tutti gli effetti di legge e ciò a prescindere dall’esistenza e dalla correttezza formale di una nomina.
Ecco che allora tale qualifica non è – o meglio non dovrebbe essere – contrattabile né fatta rientrare nei rapporti di forza tra le parti in campo.
Gestire il rifiuto alla nomina di responsabile del trattamento
Che fare, dunque, se i propri fornitori o consulenti contestano ovvero rifiutano la nomina a responsabili? Nelle ipotesi migliori ciò avviene poiché tali soggetti non ritengono di svolgere per conto e su delega dell’azienda alcuna attività che comporti in modo sistematico trattamenti di dati, in altri casi semplicemente perché “non vogliono responsabilità”.
Mentre la prima contestazione dovrà comunque essere attentamente vagliata da ogni titolare al fine di giungere a una corretta individuazione dei ruoli reciproci in ottica “accountability”, la seconda pretesa non potrà in alcun modo trovare positivo riscontro poiché palesemente contraria alle disposizioni normative inderogabili in materia di protezione dei dati che fanno discendere dal rapporto che intercorre tra soggetto esterno e azienda e dalle caratteristiche dell’attività svolta dal primo la qualifica di responsabile e non, invece, dal contenuto di un eventuale accordo tra le parti né tanto meno dal semplice desiderio di essere “esonerato” dalle responsabilità connesse ex lege al ruolo di fatto svolto dal medesimo soggetto.
Quando si verificano tali problematiche, il consiglio che sono solito dare agli imprenditori è quello in primis di aprire un dialogo sereno e costruttivo coi propri fornitori e consulenti riluttanti ad essere nominati responsabili, tenendo traccia scritta di ogni fase della “trattativa” (corrispondenza e-mail, verbali degli incontri, bozze di accordo ecc.), sia al fine di tutelare l’operatività della propria azienda che necessita dei servizi erogati ma anche – e soprattutto – per poter dimostrare lo sforzo di adeguamento alle disposizioni e al principio cardine di responsabilizzazione del GDPR.
L’imprenditore dovrà, quindi, possibilmente per il tramite dei propri consulenti privacy, compiere un percorso finalizzato a far comprendere al soggetto individuato quali criteri e valutazioni lo hanno portato alla determinazione di nominarlo come responsabile del trattamento, sempre fondando le proprie argomentazioni sulle prescrizioni della normativa inderogabile in materia applicate alla luce delle circostanze della fattispecie concreta, spiegando chiaramente che a detta disciplina il titolare non può certo discostarsi senza rischiare di esporsi a conseguenze potenzialmente anche irrimediabili per sé in termini patrimoniali e di immagine.
Una volta superato un primo passaggio volto a rendere edotto il fornitore della normativa applicabile e delle reciproche responsabilità, sarà poi opportuno, anche strategicamente, compilare congiuntamente l’atto di nomina ex art. 28 GDPR a partire da un sintetico schema di accordo contenente tutti gli elementi essenziali prescritti per legge, da completare con l’esatta e – per quanto possibile – concertata indicazione di durata, natura e finalità del trattamento, del tipo di dati personali e delle categorie di interessati, degli obblighi e dei diritti del titolare del trattamento e delle altre informazioni di cui al succitato paragrafo 3 dell’art. 28.
Conclusioni
La compilazione di tale “addendum” privacy al contratto principale tra le parti dovrà e dovrà essere un’occasione di confronto consapevole e di autoanalisi da parte del soggetto nominato, che vedrà così il proprio ruolo disciplinato in conformità alla normativa cogente in materia di protezione dei dati, ma con la garanzia di poter verificare che gli obblighi e le responsabilità previste nell’atto di nomina siano parametrate ai contenuti e ai limiti delle attività di trattamento effettivamente attribuite e svolte per conto e su delega del titolare.
Tutto ciò nell’interesse preminente dell’imprenditore, da un lato al fine di vedere salvaguardata la continuità dei processi aziendali e consolidare in termini di legalità e trasparenza i rapporti coi propri partners, scongiurando così la extrema ratio di dover interrompere il rapporto contrattuale principale, dall’altro al fine di poter dimostrare – ove necessario – di aver compiuto ogni ragionevole sforzo volto all’adeguamento della propria azienda alla normativa in materia di protezione dei dati personali ed evitare il rischio dell’applicazione di sanzioni ovvero richieste di risarcimento danni che potrebbero rivelarsi deleterie per il futuro stesso dell’azienda.
