Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Organigramma privacy, come farlo se il titolare del trattamento è un ente

Realizzare l’organigramma privacy degli enti, quando sono titolari del trattamento, può risultare complesso: ecco come considerare il ruolo delle persone fisiche che svolgono al suo interno compiti di amministrazione

4 giorni fa
P

Matteo Maria Perlini

Avvocato, DPO certificato UNI 11697: 2017 – presso Studio Legale Perlini


A distanza di un anno dall’entrata in vigore del D.lgs. 101/2018, che ha armonizzato la normativa nazionale in tema di protezione dei dati personali con le previsioni del GDPR ed ha completato la disciplina concernente l’individuazione e la definizione dei soggetti protagonisti del trattamento dei dati personali, appare opportuno chiarire quali sono i ruoli e le responsabilità delle persone fisiche che operano nell’organizzazione di enti privati o pubblici.

Quotidianamente, infatti, riceviamo dagli operatori la richiesta di rispondere a domande relative al ruolo e alle responsabilità delle persone fisiche che amministrano o rappresentano gli enti privati e pubblici, come dubbi sull’eventuale incarico di titolare o responsabile del trattamento dell’amministratore unico, presidente del CdA, amministratore delegato, legale rappresentante della società.

Organigramma privacy, cosa prevede la legge

Come noto il GDPR prevede quattro categorie di soggetti coinvolti nel trattamento di dati personali: il titolare del trattamento (data controller), il responsabile del trattamento (data processor), il contitolare (joint controller) e le persone fisiche autorizzate al trattamento (persons authorised to process personal data).

L’art. 4. par. 1, n. 7 GDPR definisce il Titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile del trattamento, l’art. 4, par. 1, n. 8 GDPR prevede che “è la persona fisica, giuridica, pubblica amministrazione, il servizio o altro organismo che tratta dati personali per conto del titolare”[1].

Si ricorda, solo per inciso, che sia il Working Party Article 29 (WP169 parere n. 1 del 2010[2]) che il GDPR (art. 28, par. 10, GDPR[3]) evidenziano che la qualifica di titolare del trattamento è uno “stato di fatto” e non deriva da alcuna nomina, nel senso che si è titolari del trattamento in quanto si assumono in concreto autonome decisioni sulle finalità o sui mezzi del trattamento.

Altra categoria prevista dal GDPR è quella dei contitolari del trattamento che si riscontra “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento” (art. 26 GDPR). Il GDPR prevede, infine, le “persone autorizzate al trattamento dei dati personali” che svolgono attività di trattamento di dati personali sotto l’autorità del titolare o del responsabile del trattamento e dagli stessi all’uopo istruiti (art. 4, par. 1, n. 10, e 29 GDPR).

Dunque, nell’assetto organizzativo delineato dal GDPR restava un vulnus, tutto italiano, relativo alla figura del responsabile “interno” del trattamento, prevista dal Codice Privacy (art. 29 abrogato) ed utilizzata dagli organismi privati e pubblici del nostro Paese per i soggetti che si trovano in posizione “apicale”.

Restava, altresì, da chiarire se la figura delle persone autorizzate al trattamento fosse compatibile con la definizione di “incaricato” propria del Codice Privacy nel testo precedente alle modifiche introdotte dal decreto di adeguamento (artt. 4 e 30 abrogati del d.lgs. 196/2003). Il decreto n. 101/2018 ha fornito risposta a tali necessità con l’introduzione dell’art. 2 quaterdecies.

Il comma 1 dell’art. 2 quaterdecies stabilisce, infatti, che “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

Il secondo comma prevede poi che “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta“.

Soggetto designato e autorizzato

Si dà conto della diffusa opinione secondo la quale la norma prevederebbe un’unica categoria di persone che operano sotto l’autorità del titolare o del responsabile.

Secondo un’altra teoria, invece, il legislatore avrebbe disciplinato due figure intermedie tra il titolare del trattamento dei dati ed il titolare dei dati (interessato): il c.d. “soggetto designato” ed il c.d. “soggetto autorizzato”.

Orbene, alla figura del “soggetto designato” sarebbero da ricondurre tutte le persone fisiche che operano in posizione di vertice nell’organizzazione dell’ente (addetti alla direzione un ufficio, un reparto, un’area aziendale) e alle quali il titolare del trattamento abbia delegato specifici poteri e funzioni in relazione alle operazioni di trattamento di dati personali, mentre i “soggetti autorizzati” sarebbero coloro che sono collocati al livello base dell’organigramma aziendale e che materialmente eseguono attività di trattamento sotto l’autorità diretta del titolare o del responsabile.

È questione controversa se un soggetto esterno all’assetto organizzativo del titolare del trattamento possa essere “designato”, ciò in quanto la norma non esclude tale ipotesi.

A parere di chi scrive è dirimente verificare il grado di inserimento della persona fisica “esterna” nell’assetto organizzativo dell’ente. In altre parole, se la persona fisica “esterna” opera con mezzi propri (ufficio, pc, database, archivio cartaceo, ecc.) non sarà sufficiente per il titolare del trattamento designarlo ai sensi dell’art. 2 quaterdecies, trattandosi di un soggetto che opera sostanzialmente al di fuori dell’organizzazione dell’ente.

In questo caso, la persona fisica dovrà essere nominata responsabile del trattamento, trattandosi di un soggetto che opera con mezzi organizzativi e tecnici propri e dal quale, quindi, il titolare dovrà pretendere le garanzie di cui all’art. 28 GDPR.

Via via che il livello di inserimento nell’organizzazione aumenta, la nomina della persona fisica quale “soggetto designato” diventa sicuramente un’opzione percorribile dal titolare del trattamento alternativa alla nomina del responsabile del trattamento ex art. 28 GDPR.

L’organigramma privacy, il modello

L’organigramma tipo sarà quindi composto in linea di principio da:

  • titolare del trattamento;
  • soggetti designati (referenti apicali);
  • soggetti autorizzati (addetti che trattano dati personali);
  • responsabili del trattamento (fornitori, consulenti, amministratore di sistema, e così via).

Quanto alle responsabilità per le violazioni in tema di trattamento dei dati personali, il GDPR detta una specifica disciplina per quanto riguarda la responsabilità civile ed amministrativa del titolare ed il responsabile del trattamento (artt. 82, 83 e 84), mentre il Codice Privacy novellato mantiene l’impianto normativo sulla responsabilità penale già previsto prima del decreto di adeguamento.

Per quanto riguarda gli altri soggetti, ed in particolare le persone fisiche che hanno ricevuto dal titolare una designazione per specifiche funzioni, pur non potendosi applicare le norme del Regolamento, non è da escludere una responsabilità per eventuali violazioni, qualora si intenda l’atto di designazione come una vera e propria “delega di funzioni”.

Soggetti che amministrano l’ente-titolare

Nel caso il titolare del trattamento coincida con una persona giuridica, vediamo come devono essere inquadrati nell’organigramma privacy le persone fisiche formalmente esterne alla stessa, ma che operano al loro interno e che “impersonano” l’ente (l’amministratore unico, il presidente del CdA, l’amministratore delegato, il legale rappresentante).

Per rispondere al quesito dobbiamo partire dal quanto affermato dal Garante nel parere del 9 dicembre 1997 (doc. web. n. 30915): “qualora il trattamento sia effettuato nell´ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all´esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di “responsabile (v. art. 8 legge n. 675/1996)”. Il Garante aveva, quindi, già nel lontano 1997 fornito indicazioni ben precise sulla posizione della persona fisica “interna” all’organizzazione del titolare del trattamento, avendo ammesso la possibilità che la stessa possa essere individuata come “responsabile” del trattamento – che, nella vigenza dell’art. 8 legge 675/1996 e del art. 29 D.lgs. 196/2003, poteva essere un soggetto interno all’ente -, rimettendo, comunque, il corretto inquadramento del rapporto con il titolare ad una verifica da condursi caso per caso.

Ora, leggendo in modo combinato il parere del Garante ed il comma 1 dell’art. 2 quaterdecies del Codice Privacy, è agevole notare l’assonanza tra l’inciso utilizzato dal Garante “persone fisiche che operano nella relativa struttura” e l’inciso di cui all’art. 2 quaterdecies “nell’ambito del proprio assetto organizzativo”.

Potremmo pertanto affermare che la persona fisica che rappresenta o amministra l’ente pubblico o privato può essere “designato” dal titolare del trattamento ai sensi del comma 1 dell’art. 2 quaterdecies se è inserito nella struttura organizzativa dell’ente.

Quindi, ad esempio l’amministratore delegato di una società dovrà essere designato per le funzioni inerenti al trattamento di dati personali, se le decisioni sulle finalità ed i mezzi del trattamento sono della società (ad esempio, se l’amministratore utilizza dati personali esclusivamente per scopi aziendali e se lo fa utilizzando l’organizzazione di risorse umane (segreteria, impiegati) e tecniche (pc, tablet, archivi cartacei, database). Non sembra, invece, che ricorrano i presupposti di cui all’art. 28 GDPR che richiederebbero la nomina dello stesso quale responsabile del trattamento, trattandosi di soggetti inseriti nella struttura dell’ente e che agiscono sotto l’autorità del titolare del trattamento.

Note

[1] Secondo l’opinione – quasi – unanime degli operatori, il ruolo del responsabile del trattamento di cui all’art. 28 del Regolamento europeo è riservato ad un soggetto esterno all’ente (es. i consulenti, i fornitori di servizi), essendo incompatibile con il contesto delineato dall’art. 28 GDPR, il rapporto tra datore di lavoro-titolare del trattamento ed i propri dipendenti: infatti, sarebbe illogico onerare il dipendente dell’obbligo di tenere un registro delle attività di trattamento svolte nell’esecuzione della propria prestazione lavorativa; sarebbe altrettanto illogico pretendere dallo stesso le garanzie richieste al responsabile del trattamento in termini di conoscenza specialistica, affidabilità e disponibilità di risorse per mettere in atto adeguate misure tecniche ed organizzative; sarebbe soprattutto assurdo ritenere il dipendente responsabile in via solidale con il titolare nei confronti degli interessati.

[2] WP169 – Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” adottato il 16 febbraio 2010, p. 9: “Essere il responsabile (titolare, n.d.r.) del trattamento deriva in primo luogo dal fatto concreto che un’entità ha scelto di trattare dati personali per propri fini. Un criterio puramente formale non sarebbe sufficiente almeno per due ragioni: in alcuni casi la designazione ufficiale di un responsabile (titolare, n.d.r.) del trattamento – prevista ad esempio per legge, in un contratto o in una notificazione al garante per la protezione dei dati – verrebbe semplicemente a mancare;
in altri casi, tale designazione ufficiale potrebbe non rispecchiare la realtà, conferendo il ruolo di responsabile (titolare, n.d.r.) del trattamento a un organismo che di fatto non è nella posizione di “determinare”.

[3] Art. 28, par. 10, GDPR: “Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4