IL RESPONSABILE DEL TRATTAMENTO

a cura di Marco Massimini(Polytecna S.a.s. — www.privacy.it)

PREMESSA

L’intento di questo scritto è di illustrare i principali aspetti relativi a quella che è, ed è destinata a divenire ancor di più, una figura chiave per lo svolgimento delle attività sui dati personali effettuate da tutte strutture organizzative del mondo del lavoro: il Responsabile del trattamento. Si tenterà, qui, di chiarire i contorni di questa figura, che talvolta risultano scarsamente intuibili causa l’essenzialità della definizione normativa e l’esiguità dei contributi istituzionali nonché dottrinali finora pervenuti agli operatori. Lo si farà mediante il ricorso all’interpretazione giuridica, ma non mancheranno le indicazioni di carattere pratico, nei limiti di quanto ci è permesso in uno scritto che abbiamo voluto connotare come generalmente fruibile e non esclusivamente destinato a categorie specifiche di operatori.

Non ci si limiterà ad affrontare la figura del Responsabile cd. "interno", ma si provvederà ad entrare nel territorio semi-inesplorato relativo alla figura del Responsabile cd. "esterno". Non avendovi provveduto la legge (che introduce la sola figura generica del "responsabile del trattamento"), cercheremo di distinguere le due tipologie esplicando le diverse opportunità, le specifiche utilità, i pericoli nascosti e, non da ultimo, i diversi adempimenti che conseguono all’individuazione ed alla preposizione dell’una e dell’altra figura da parte del Titolare.

La speranza è quella di aiutare i Titolari (e chi li coadiuva) a comprendere meglio i vari aspetti legali e pratici della problematica in modo che le complicate decisioni in ordine alla strutturazione del proprio organigramma di privacy e alla corretta gestione dell’outsourcing possano essere assunte sulla scorta di una maggiore consapevolezza e, di conseguenza, tese all’ottimizzazione delle modalità quotidiane di gestione dei dati personali e, più in genere, della "pratica privacy".

LA FIGURA DEL TITOLARE DEL TRATTAMENTO

Un’analisi dei tratti che caratterizzano il ruolo di Responsabile del trattamento deve, per forza di cose, essere preceduta da alcuni cenni che, per quanto brevi, illustrino la posizione di colui che ne detiene il potere di nomina: il Titolare del trattamento. Ossia, quel soggetto che è dotato di poteri di decisione e direzione in ordine al trattamento dei dati e al quale la legge attribuisce direttamente le varie responsabilità per il caso di violazione delle norme di privacy.

E’ fondamentale chiarire, in maniera definitiva, che la titolarità del trattamento non è disponibile: non si può nominare qualcun’altro Titolare (al contrario di quanto accade in relazione a Responsabili ed Incaricati). E nemmeno si può nominare se stessi o la propria organizzazione. La titolarità di un trattamento è uno "stato di fatto". Ai sensi dell’art. 4, comma 2, lettera f) del D.Lgs. 196/2003, il Titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Ed è proprio secondo tali criteri che la titolarità sarà ricostruita dal Garante o dall’Autorità Giudiziaria nel caso si debbano attribuire responsabilità per violazioni del Codice Privacy.

In genere, il Titolare è la società, l’ente, o l’associazione e, pertanto, corrisponde ad una persona giuridica. Questo tipo di individuazione comporta un vantaggio concreto perché non dovranno essere riformulati i diversi documenti di privacy al variare della persona fisica che rappresenta legalmente la struttura (ad esempio, al variare dell’amministratore delegato o del Sindaco). Altrimenti, il Titolare è una persona fisica, qualora sia un professionista che esercita individualmente la propria attività.

Già dalla definizione fornita dalla legge si evince in maniera immediata l’elevato livello di responsabilità riconnesso alla figura del Titolare in merito alla direzione delle attività di trattamento. E’ il Titolare ad essere investito del potere di pianificare ed attuare le linee strategiche ed organizzative per quanto attiene le modalità ed i criteri di attuazione, circa la raccolta, l’utilizzo e l’elaborazione dei dati, l’individuazione degli scopi pertinenti e l’implementazione delle misure di sicurezza.

A questo ampio potere di direzione corrisponde un’articolata serie di responsabilità ed adempimenti cui il Titolare non si può sottrarre e che investono i suoi rapporti sia con l’interessato che con il Garante. L’attenzione necessaria ad eseguire in maniera corretta il percorso di obblighi stabiliti dalla legge comporta, per il Titolare, il bisogno di riservare un’area di riflessione, di pianificazione e d’intervento, per incanalare la propria attività professionale e la gestione delle proprie risorse (umane, organizzative, logiche e anche patrimoniali) verso la piena osservanza del dettato normativo. Dall’emanazione della legge 675/1996 ad oggi, in molti si sono accorti di quali interventi sulla propria organizzazione professionale ciò possa comportare.

Il Titolare, com’è ovvio, impiega i propri collaboratori, interni ed esterni, per eseguire le operazioni di trattamento inerenti alla propria attività: questo significa dover valutare il livello di adeguatezza della struttura in essere e ricercarne l’ottimizzazione, per espletare le operazioni di gestione dei dati in linea con la normativa di privacy. Per raggiungere tale scopo il Titolare dovrà intervenire sui propri incaricati tramite lo strumento della formazione e, se la struttura è caratterizzata da un minimo di complessità, sarà bene che si faccia coadiuvare da un preposto (o da più preposti) nella gestione quotidiana delle problematiche di privacy che accompagnano — oramai ce ne si deve fare una ragione — lo svolgimento della propria attività professionale.

LA FIGURA DEL RESPONSABILE DEL TRATTAMENTO

Tra le figure che possono concorrere a comporre l’organigramma di privacy previsto dal D.Lgs. 196/2003, ricorre — oltre a quella del Titolare e dell’Incaricato — anche quella del Responsabile del Trattamento. Tale figura, già prevista nella precedente l. 675/1996, riveste un ruolo davvero importante nel processo di trattamento di dati personali che il Titolare mette in atto.

Secondo il disposto dell’art. 4, comma 1, lett. g) del Codice Privacy, il Responsabile è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali".

Il Responsabile, come si evince dalla definizione di legge, può essere persona fisica o giuridica (eventualità condivisa con la figura del Titolare e non anche con quella dell’Incaricato). Inoltre, ad assumere la qualità di Responsabile del trattamento, possono essere tanto i soggetti pubblici quanto quelli privati.

Il Responsabile — stando alla lettera di legge — è "preposto" dal Titolare. La preposizione è, in questo caso, quel rapporto giuridico attraverso il quale il Titolare (preponente) assegna al Responsabile (preposto), a mezzo formale di nomina, la gestione del trattamento dei dati di propria pertinenza, in tutto o in parte. Condizioni indispensabili all’integrazione della qualificazione giuridica sono:

  1. che la designazione venga effettuata dal Titolare (e non da altri soggetti);

  2. che il potere di direzione in ordine al trattamento dei dati (ossia le decisioni riguardanti i fini, i mezzi e le modalità del trattamento stesso) rimanga nelle disponibilità del Titolare.

L’art. 29 delinea ulteriormente le modalità e le caratteristiche della designazione. Analizziamo, qui di seguito, il primo comma.

Il responsabile è designato dal titolare facoltativamente

La nomina, dunque, non è obbligatoria. Una decisione saggia da parte del legislatore che non aggrava di un ulteriore vincolo le strutture più limitate. Tuttavia, la figura è stata opportunamente prevista dacché il Titolare (in specie, il soggetto che legalmente lo rappresenta) può non essere dotato del tempo necessario e, non si tema ad affermarlo, delle capacità pratiche-operative indispensabili alla gestione materiale dei trattamenti, all’esecuzione di tutti gli adempimenti, al perseguimento delle finalità e, più in genere, al mantenimento di un costante stato di attenzione riguardo la materia e le sue frequenti evoluzioni. In tal senso, non v’è dubbio che, innanzi a determinate dimensioni strutturali o a fronte di particolari (per mole o delicatezza) trattamenti, una corretta nomina a Responsabile — corredata dalle opportune deleghe ed istruzioni — costituisca la prima delle "misure idonee" a contrastare il rischio riconnesso all’attività di trattamento.

Ci spieghiamo meglio. L’art. 15 del Codice Privacy stabilisce che "chiunque cagiona danni per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile". L’art. 2050, per suo conto, delinea la responsabilità per esercizio di attività pericolosa affermando che "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno." Da una lettura combinata delle due disposizioni consegue che:

  1. il fatto di trattare dati personali costituisce, per il nostro ordinamento, di per sé, attività pericolosa (così come, ad esempio, gestire un impianto sciistico o il trasporto di scorie nucleari);

  2. è sancita la cd. "inversione dell’onere della prova", gravando sul gestore dell’attività pericolosa l’onere di dimostrare di aver fatto tutto il possibile per evitare il danno essendo sufficiente al danneggiato il provare il semplice evento (senza, per converso, doverne provare il nesso di causalità con la condotta del presunto danneggiante);

  3. la prova "diabolica" utile al Titolare per superare la presunzione di colpa deve consistere nell’aver adottato, precedentemente al verificarsi dell’evento, ossia in maniera preventiva in relazione al rischio specifico gravante sulla propria particolare struttura, tutte le misure idonee atte ad evitare il danno.

Orbene, appurato che il contesto richiede che l’attenzione sia mantenuta ai massimi livelli, proprio in ragione dell’esercizio di un’attività pericolosa, e considerato che nella maggioranza delle strutture il Titolare non è in grado di occuparsi degli aspetti pratici del trattamento, la delega di questa attenzione ad uno o più Responsabili del trattamento deve considerarsi come la prima e più efficace prova a discarico ai sensi dell’art. 2050 del codice civile e, di conseguenza, dell’art. 15 del Codice Privacy. Infatti, cosa, più dell’allestimento preventivo di un’organizzazione consapevole del problema privacy e proporzionata alla complessità dei propri trattamenti, può meglio testimoniare l’effettiva e precauzionale attivazione del Titolare in relazione ai pericoli ipotizzati dal legislatore?

I REQUISITI

Analizzata la definizione di legge dell’art. 4, comma 1, lett. g) ed approfondita la portata del comma 1 dell’art. 29 che statuisce il carattere facoltativo della nomina, introduciamo il comma 2 dell’art. 29 che specifica ulteriormente i tratti fondamentali della nomina:

Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

La disposizione di legge stabilisce quali debbano essere i criteri di scelta che devono guidare il Titolare e, di conseguenza, quali debbano essere i requisiti che connotano il soggetto individuato come Responsabile: esperienza, capacità ed affidabilità. Queste caratteristiche non devono essere valutate in ordine alla specifica competenza tecnica del nominato in materia di legislazione di privacy (che, è ovvio, non guasta); non v’è dubbio, infatti, che se l’indicazione effettuata dal legislatore avesse ad oggetto esclusivo esperti della disciplina da scegliersi all’interno della struttura del Titolare, pochissime realtà potrebbero dotarsi della figura in questione. I requisiti, invero, sono da valutare alla luce dell’idoneità, della predisposizione e dell’inclinazione del soggetto a coadiuvare il Titolare negli adempimenti di legge e ad assecondarne e/o svilupparne le strategie relative alla finalità e modalità dei trattamenti ed alla messa in sicurezza dei dati.

Dunque è il "potenziale" nel poter osservare i compiti di privacy affidatigli, ciò che il Titolare è chiamato a ricercare nel nominando. Ovviamente, molto, in tal senso, conterà la "storia" del soggetto ossia il "potenziale espresso" dallo stesso in passato. Una persona che ha svolto in passato, per un periodo significativo ed in maniera soddisfacente, mansioni organizzative con incombenze normative (si pensi, solo ad esempio, alla gestione delle risorse umane o alla direzione di un dipartimento universitario) ha ottime probabilità di poter essere oggettivamente qualificato come soggetto dotato di "esperienza" idonea ad affrontare la problematica di privacy. Ugualmente, se la stessa o altra persona avesse dimostrato una buona inclinazione a fronteggiare discipline nuove (ad es., l’implementazione degli obblighi ex. l. 626/1994) e/o a rispondere con la dovuta reattività alle richieste dei superiori o di terzi (ad es., nella gestione di un ufficio clienti), potrebbe essere obiettivamente giudicata come "capace" a gestire i compiti di privacy.

Una volta individuato il soggetto come "esperto" e "capace", verrebbe quasi automaticamente da qualificarlo come "affidabile". Ma ben ha fatto il legislatore a porre distintamente questo terzo requisito e chi scrive lo ha constato più volte durante la propria esperienza in materia formazione. Soprattutto nei primi tempi di applicazione della l. 675/1996 la qualifica di Responsabile veniva spesso affidata dai Titolari a soggetti in fase di prepensionamento (proprio per questo, forse, giudicati esperti e capaci) che venivano distolti dalla propria mansione e preposti all’avviamento delle incombenze di privacy. Il fatto di dover abbandonare le proprie pertinenze e di dover affrontare una disciplina nuova e complessa proprio a fine carriera, veniva di sovente percepito dal soggetto come un messaggio ben preciso: "ci faccia quest’ultimo favore, poi levi il disturbo". Ossia una mancanza di rispetto della dignità personale e professionale e una mancanza di riconoscimento delle proprie competenze. Una siffatta percezione ingenerava, inevitabilmente, animosità verso il datore di lavoro ed una mancanza di disponibilità ad acquisire in modo fruttifero le dovute nozioni (concepite, nello stato d’animo, come fastidiosa incombenza del breve periodo e non come un arricchimento delle proprie competenze e prospettive professionali nel contesto aziendale). Ecco come una persona indubbiamente "esperta" e "capace" può risultare altamente carente sotto il profilo della "affidabilità".

La carenza di uno o più requisiti posti dal comma 2, dell’art. 29 del Codice Privacy, nella persona nominata Responsabile, profilano in capo al Titolare una precisa responsabilità in eligendo e in vigilando. Il Responsabile deve essere giudicabile come quel soggetto che fornisce idonee garanzie al trattamento di dati personali, sia al momento della sua prima individuazione, che per tutto il tempo in cui ricopre tale carica. Dunque, il Titolare ha tra i suoi doveri quello di espletare un controllo quantomeno periodico (diremmo, almeno annuale) sull’idoneità della propria scelta, anche attraverso una valutazione del suo effettivo operato. La capacità di gestire gli adempimenti delegati, di rispondere alle istanze dei terzi o ai dubbi dei colleghi, di relazionare o segnalare al Titolare, di mantenersi autonomamente informato sulle evoluzioni della materia, di attivarsi innanzi alle anomalie, ecc.: questi possono essere alcuni tra gli indicatori utili per effettuare una corretta valutazione periodica (oltre, naturalmente, ad una verifica sull’esecuzione delle specifiche istruzioni conferite nell’atto di nomina).

Non è qui il caso di occuparci degli eventuali obblighi risarcitori del Responsabile e dei profili di corresponsabilità del Titolare, ma in via generale possiamo concludere quanto segue: il Titolare risponde del fatto antigiuridico compiuto dal Responsabile qualora questi non presenti obiettivamente i requisiti richiesti al comma 2, dell’art. 29 del Codice Privacy.

QUANTI E QUALI RESPONSABILI?

Abbiamo visto come la nomina di un Responsabile non sia obbligatoria per legge - sebbene, in determinati contesti, quantomeno opportuna - ed abbiamo analizzato quali requisiti debba presentare e mantenere nel tempo, illustrando anche quali profili di responsabilità gravino sul Titolare in merito alla scelta effettuata e alla capacità di controllo nel tempo sulla sua idoneità.

Ora è il caso di affrontare la tematica introdotta dal comma 3, dell’art. 29 del D.Lgs. 196/2003, che recita:

Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

Dal disposto si desume facilmente come, posta la facoltatività della nomina di cui al comma 1, non solo può essere opportuno nominare un Responsabile, ma anche — davanti a determinate circostanze — nominarne più di uno. Sebbene in maniera non immediatamente intuibile, la locuzione "possono essere designati responsabili più soggetti", è sì da intendersi come la concessione di una facoltà, ma anche come una vera e propria esortazione: laddove ricorra una certa complessità strutturale, è idoneo preporre alla cura dei diversi ambiti od aspetti del trattamento effettuati dal Titolare, differenti figure, per ciò appositamente individuate ed a ciò specificamente delegate.

Se, infatti, è vero che non sempre il Titolare può occuparsi degli aspetti pratici del trattamento e che, in tali casi, sia irrinunciabile la preposizione di un Responsabile che lo coadiuvi nell’opera, è vero anche che, in situazioni di maggiore complessità organizzativa, un Responsabile unico difficilmente può, a sua volta, reggere con la dovuta perizia e attenzione il gravame dei vari compiti di privacy.

In precedenza, abbiamo affermato che una nomina a Responsabile può essere una buona soluzione organizzativa per la gestione degli adempimenti di privacy e della protezione dei dati in contesti medio/piccoli. Abbiamo, inoltre, sottolineato il contributo benefico dell’idoneità di tale scelta in relazione ai profili di responsabilità presunti in capo al Titolare ai sensi dell’art. 2050 c.c. (richiamato dall’art. 15 del Codice Privacy). Ebbene, le medesime considerazioni possono essere pacificamente estese alle strutture più complesse: un maggior numero di ponderate ed idonee nomine a Responsabile migliora la gestione della problematica e, di conseguenza, diminuisce il livello di rischio correlato allo svolgimento di un’attività ritenuta pericolosa dall’ordinamento.

Detto questo, non è facile stabilire a priori quale sia il quantum, ossia il numero idoneo di Responsabili di cui ciascuna realtà di deve dotare. La variabile può risentire del numero di dipendenti, dalla quantità di dati personali trattati, dal tipo e dalla delicatezza dei dati trattati, dal tipo di suddivisione interna delle varie attività, dalla dislocazione o meno degli uffici o filiali sul territorio, e molto altro ancora. Tuttavia, se comprendiamo lo spirito della legge sulla privacy e se intendiamo correttamente quanta e quale attenzione ci è richiesta, potremo - anche solo col buon senso - effettuare scelte che risulteranno adeguate nel caso ci vengano puntati addosso i riflettori (da parte di interessati, ispettori o autorità giudiziaria, che siano).

In tal senso si possono, in via puramente esemplificativa, delineare alcune ipotesi di carattere generico. Lo studio, l’impresa o l’associazione con meno di 15 incaricati potrebbe evitare di nominare un Responsabile (purché chi rappresenta il Titolare si occupi della materia). Le realtà un po’ più complesse potrebbero trovare un’idonea soluzione nel nominare un unico Responsabile della privacy.

Le società, gli studi e gli enti che superano i 100 incaricati difficilmente potrebbero ritenersi adeguati con un solo Responsabile. In quest’ultimo caso, possiamo stabilire alcuni criteri di massima che aiutino a comprendere quanti e quali figure debbano essere preposte alla cura dei vari aspetti di privacy. In un’azienda medio/grande sarà bene che vi sia un Responsabile per ciascuna divisione o settore che presenti una certa mole di dati trattati e l’apicale dell’unità sarà colui che deve essere nominato. Ad esempio: un Responsabile per le Risorse Umane, un Responsabile per l’amministrazione/contabilità, un Responsabile per l’ufficio vendite, un Responsabile per l’ufficio commerciale, un Responsabile per l’ufficio marketing, un Responsabile per la gestione del Sistema Informatico, e così via. In un Comune: un Responsabile per ogni settore od ufficio. In un ospedale: un Responsabile per la Direzione Sanitaria, uno per la Direzione Amministrativa, uno per il settore informatico, uno per il centro prenotazioni, uno per il rilascio delle cartelle ed uno per ogni reparto che eroghi un tipo di prestazione sanitaria.

Si badi, si tratta solo di esempi che possono aiutare a farsi un’idea, ma che non possono essere interpretati rigidamente. Possono, ad esempio, esservi casi di strutture numericamente limitate che è bene si regolino diversamente svincolandosi da questi criteri quantitativi. Poniamo il caso di una fondazione che ha sparsi sul territorio una Direzione/Amministrazione (5 persone), un centro di raccolta fondi (2 dipendenti), un centro di ricerca genetica (4 ricercatori) ed un centro di terapia genetica (4 medici): per quanto numericamente limitata (20 persone in tutto), sarà la diversa dislocazione sul territorio, la quantità, e soprattutto la diversità e la qualità dei dati trattati ad imporre, come scelta giusta, la nomina di quattro Responsabili, ossia di uno in ogni settore della fondazione. Trattamenti particolarmente delicati meritano maggiore presenza e specifica attenzione. Questo esempio fa notare come, al di là o meno dell’efficacia del ricorso ad alcuni parametri, spesso sarà la logica applicata al buon senso a guidarci meglio di qualsiasi cosa.

Il medesimo buon senso ci aiuterà a capire quanto, per converso, sia inutile fare un ricorso eccessivo alle nomine a Responsabile — magari nella vana speranza di dimostrare il proprio zelo per la disciplina - producendo una nociva frammentazione delle competenze e della politica di privacy. Dove è bene che vi sia una vigilanza attiva e specifica, è bene preporre un Responsabile capace e disponibile, altrimenti conviene rinunciarvi, perché tali eccessi possono costituire un boomerang che ritorna addosso al Titolare sotto forma di culpa in eligendo et in vigilando per cattiva assegnazione delle responsabilità di privacy.

Un suggerimento. Qualora il Titolare, in base alle proprie esigenze organizzative, trovi opportuno e corretto nominare più Responsabili, sarà utile giungere alla costituzione di un "Gruppo Privacy", ossia di un gruppo operativo, costituito all’interno della struttura, formato dai vari Responsabili, con il compito di dare attuazione e monitorare l’applicazione del Codice della Privacy, ivi compresi i profili relativi alla sicurezza dei dati personali. Dal punto di vista organizzativo, individuando tra questi il soggetto più idoneo (per mansioni ed esperienza) a svolgere un ruolo di coordinamento delle attività del nucleo, si può garantire alla struttura una politica vigile (su una materia per sua natura in continua evoluzione) e, soprattutto, omogenea in rapporto alle diverse sedi e/o unità di cui si compone. La verifica - attraverso incontri o contatti periodici - degli adempimenti di legge e dello stato di attuazione delle misure di sicurezza da parte del Gruppo di lavoro dovrebbe, in tal modo, garantire, al Titolare e alla sua struttura, standard elevati di gestione e protezione dati ed un’alta copertura al cospetto dei rischi riconnessi all’attività di trattamento.

Solitamente non v’è bisogno che i Responsabili, facenti o meno parte di un "Gruppo Privacy", abbandonino la propria mansione lavorativa, perché si tratta solamente di un’integrazione ad ampliamento dei loro compiti e competenze, infatti - a far data dall’emanazione della legge sulla privacy — ricoprire determinate cariche può dover comportare (se non automaticamente, quasi) il fatto di essere nominati Responsabili. Vi sono tuttavia casi in cui la dimensione dei trattamenti è tale da richiedere al Titolare, sempre in un’ottica di adeguatezza di distribuzione di deleghe e competenze in materia, di distogliere risorse professionali dalle usuali mansioni o di aggiungerne ex novo, per preporle a tempo pieno alla cura e alla gestione dei compiti di privacy. Una grande industria, una società di assicurazioni, un Comune di certe dimensioni, una ASL con decine di migliaia di utenti potrebbero e dovrebbero arrivare a costituire un vero e proprio Ufficio Privacy, composto da soggetti che si ripartiscono i compiti sulle varie questioni e sui vari aspetti e che sia guidato da una figura che, assecondando il dilagante "inglesismo", potremmo chiamare Privacy Manager.

MODALITA’ DI NOMINA, COMPITI ED ISTRUZIONI

Focalizziamo, a questo punto, l’attenzione sul modo in cui il Titolare deve conferire forma e sostanza alla nomina con cui affida specifici incarichi di tipo direttivo ed organizzativo ad un soggetto capace, esperto ed affidabile.

I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

L’art. 29, comma 4 del D.Lgs. 196/2003, impone la forma scritta della nomina senza ulteriori vincoli. Sarà, pertanto sufficiente ricorrere ad una semplice scrittura privata controfirmata e l’avvenuta nomina non dovrà essere obbligatoriamente soggetta a particolari forme di pubblicità. Tuttavia può ritenersi, almeno in alcuni contesti, buona regola far autenticare da un notaio la scrittura.

Ugualmente, è buona regola rendere facilmente identificabile la figura del Responsabile dall’esterno (mediante pubblicazione nei modi propri della singola struttura, ad esempio, sul registro della camera di commercio, su un regolamento o sul proprio sito Internet). Una maggiore esposizione del Responsabile, rispetto al minimo richiesto dalla legge, che ne limita l’obbligo di indicazione alle sole notifica (se dovuta) ed informativa, può portare a diversi benefici:

  • denota, a colpo d’occhio, che il Titolare ha effettuato la nomina, ossia che ha progettato ed implementato un organigramma di privacy per migliorare la qualità del proprio ambiente di trattamento dati;

  • denota che non ci si è limitati a nominare il preposto, ma che si è inteso portare alla maggiore conoscenza dei terzi la figura, facilitando la promozione delle istanze di privacy da parte degli interessati e fornendo un agevole interlocutore alle eventuali richieste delle Autorità: una politica, questa, che segna a priori un punto a favore del Titolare in termini di trasparenza, buona fede e che può costituire una misura d’attenzione idonea ai sensi dell’art. 2050 c.c.;

  • contribuisce sensibilmente ad ottimizzare la propria capacità di risposta alle istanze di privacy degli interessati, veicolandole verso colui che è effettivamente preposto a fornire i riscontri di cui all’art. 10 del Codice Privacy (che ricordiamo debbono rendersi, ai sensi dell’art. 146, comma 2, entro 15 giorni dalla ricezione della richiesta). Infatti, una richiesta che — in assenza di recapiti specifici (e spesso il richiedente non ha ricevuto o non ha sotto mano un’informativa) — viene inviata genericamente al Titolare, rischia di cadere in un punto dell’organizzazione non dotato, o non consapevole, della sollecitudine necessaria a soddisfare richieste spesso complesse. E’ appena il caso di rammentare che, trascorsi i 15 giorni dalla ricezione dell’istanza, l’interessato può proporre ricorso all’Autorità Garante: un’eventualità poco auspicabile.

Detto dei modi più opportuni per effettuare la nomina e darne conoscenza, torniamo al disposto dell’art. 29, comma 4, laddove sancisce che il Titolare deve affidare, specificandoli per iscritto, compiti analitici al Responsabile. Né la disposizione in questione, né il restante contesto normativo, entrano nel merito di quali debbano essere tali compiti, e ciò ben si comprende, se consideriamo il numero di variabili che ogni contesto ed ogni nomina possono presentare. Tuttavia, possiamo delineare un elenco di quali possano essere i compiti per uno o più Responsabili di una struttura di media entità, tenendo conto che il livello di dettaglio costituisce di per sé una variabile. Il Titolare può indicare:

  • I dati personali e le banche di riferimento oggetto di trattamento da parte del Responsabile;

  • I trattamenti da svolgere in funzione di ciascun dato personale (tenendo conto delle finalità del trattamento);

  • Il dettaglio dei flussi operativi che i dati personali devono seguire sia all’interno che - eventualmente - all’esterno della struttura organizzativa del Responsabile;

  • L’elenco dettagliato delle misure di sicurezza da adottare;

  • I limiti di autonomia decisionale nell’attività di gestione delle risorse (umane, tecniche, economiche) per effettuare il trattamento;

  • I limiti di autonomia decisionale in merito alle procedure di trattamento dei dati personali;

  • Le responsabilità interne e/o contrattuali connesse ai punti precedenti.

Tale tipologia di istruzioni possono ritenersi valide per qualsiasi Responsabile. A seconda della professionalità individuata, il Titolare potrà poi fornire ulteriori e più specifiche mansioni, come quella di Responsabile per l’amministrazione del sistema informatico o di Responsabile per le richieste ex art. 7 del Codice Privacy.

L’art. 29, comma 5, del D.Lgs. 196/2003 sancisce che:

Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Abbiamo già detto della responsabilità in eligendo et in vigilando del Titolare circa le qualità (capacità, esperienza ed affidabilità) del preposto. Naturalmente, i doveri di controllo si estendono anche in relazione al concreto operato del Responsabile nel rispetto e nei limiti delle istruzioni ad esso impartite. Il tenore dei compiti affidati al Responsabile e la pregnanza della vigilanza effettuata dal Titolare circa la loro puntuale osservanza, saranno elementi che verranno, inevitabilmente, presi in considerazione dagli organi giudicanti per ripartire le responsabilità ai sensi di legge per il danno cagionato per effetto di un trattamento.

IL RESPONSABILE ESTERNO

La nomina a Responsabile può investire anche un soggetto esterno e non dipendente dal Titolare a cui quest’ultimo intenda affidare lo svolgimento di attività di norma pertinenti alla propria struttura. Non v’è alcuna disposizione che renda esplicita tale facoltà, ma invero, non ve ne è neppure una che la neghi in alcun modo. In passato, il Garante ha fugato tutti i dubbi circa la possibilità di nominare l’outsourcer Responsabile relativamente al trattamento che esso effettua per conto del Titolare, ammettendo la legittimità della preposizione, sia nei rapporti di diritto pubblico (ad esempio, Comune che si avvale di società per l’accertamento dei pagamenti della tassa sui rifiuti), sia nei rapporti di diritto privato (ad esempio, un consulente per l’elaborazione delle paghe dei dipendenti). In entrambi i contesti la nomina può ricadere su una persona fisica così come su una persona giuridica.

Fin qui la vicenda sembra pacifica, ma è bene ammettere che nella pratica essa costituisce tutt’oggi un punto terribilmente complesso ed intricato sia sul piano interpretativo che su quello applicativo. L’assenza di precise indicazioni da parte del Garante (intervenuto solo su casi specifici) e l’assenza di un apporto dottrinale e giurisprudenziale univoco, rendono ancora oscuri alcuni aspetti o alcune conseguenze dell’utilizzo di uno strumento - la nomina "esterna" - a cui si è molto tentati di ricorrere in un contesto operativo generale sempre più teso all’esternalizzazione di alcune attività. Proviamo, tuttavia, a delineare lo scenario per quanto non si potrà essere del tutto esaustivi in questo spazio.

La nomina a Responsabile esterno dell’outsourcer porta evidenti vantaggi. Innanzitutto, il Titolare può affidare al di fuori della propria struttura operazioni e servizi, senza per questo ricadere nella rigida disciplina prevista dal Codice Privacy in materia di comunicazione di dati, che ricorrerebbe qualora il soggetto esterno non fosse investito con la nomina in questione.

Per rendere più chiaro tale riferimento è doveroso un excursus sull’evoluzione della normativa. La l. 675/1996 dedicava apposite e differenti disposizioni circa la disciplina del consenso necessario, o meno, ad effettuare legittimamente il trattamento (artt. 11 e 12, l. 675/1996) o la comunicazione/diffusione (art. 20, l. 675/1996). A seguito delle disposizioni correttive ed integrative apportate dal D.Lgs. 467/2001 (dovute, sul punto, alle lamentele delle parti sociali, in particolare, per l’assenza della previsione di un’esenzione del consenso specifico dell’interessato per trasferire a terzi i dati necessari all’esecuzione di un contratto), i casi di esenzione utili ad effettuare senza consenso espresso le diverse operazioni di trattamento si sono, in pratica, omologati. Giustamente, il D.Lgs. 196/2003 ha eliminato le distinzioni ed ha unificato la disciplina del trattamento, della comunicazione e della diffusione. All’art. 23, troviamo il principio generale di consenso necessario per il trattamento, laddove per "trattamento" dovremo intendere sia le operazioni di trattamento interno sui dati (raccolta, elaborazione, etc.), che le operazioni di comunicazione a terzi individuati e la diffusione al pubblico. Ugualmente, all’art. 24, sono citate le molteplici esenzioni che permettono, per le medesime operazioni, di non dover reperire il consenso dell’interessato ricorrendo determinate circostanze. Nel disporre le esenzioni, l’articolo in questione si cura, in talune ipotesi (si prenda ad esempio, la lett. h del comma 1), di segnalare come la specifica causa di esclusione non operi nel caso si intenda dare luogo a comunicazione. Questa è la controprova che, laddove non diversamente specificato, la disciplina per tutte le operazioni interne ed esterne del trattamento è oggi univoca.

Chiarito il contesto normativo, possiamo più agevolmente descrivere gli svantaggi della mancata nomina a Responsabile dell’outsourcer dovuti all’operatività della disciplina della comunicazione. Per far questo, sarà più semplice ricorrere ad un esempio. Un soggetto compra sul sito Internet di una società (Titolare del trattamento) un bene. Il Titolare non deve chiedere il consenso all’interessato per il trattamento dei suoi dati, poiché essi sono "necessari per eseguire obblighi derivanti da un contratto del quale è parte l’interessato" (esenzione sub. art. 24, comma 1, lett. b): la manifesta volontà negoziale rende superfluo il consenso al trattamento dei dati necessari all’esecuzione della transazione. Il sito è gestito, per conto del Titolare, da una società terza specializzata, che accede alla banca dati dei clienti per motivi gestionali e tecnici. Pertanto, il Titolare consente alla società terza l’accesso alla propria banca dati: ossia, in termini di legge, gli comunica i dati. Orbene, l’esenzione dall’obbligo di raccolta del consenso, valido per l’acquisizione dei dati da parte del Titolare, non vale anche per la loro comunicazione alla società di gestione del sito: infatti, un siffatto trasferimento di dati non è oggettivamente "necessario" per l’esecuzione del contratto. Il Titolare ha semplicemente scelto di esternalizzare la gestione del sito perché (per motivi economici e/o organizzativi) lo ritiene più conveniente. Dunque l’esenzione non opera e il Titolare deve regolamentare la circostanza perché, per il quadro normativo, è come se stesse consegnando i dati del cliente ad un passante qualsiasi che cammina per la strada. La soluzione normativa è semplicemente quella prevista dal principio generale dell’art. 23: richiedere all’interessato il consenso espresso e specifico per la comunicazione dei suoi dati a tale società. Ma questa, ben si comprende, è un’operazione difficoltosa e resa ancora più fastidiosa dal fatto che per acquisire i dati del cliente il Titolare, come detto, non doveva richiederne il consenso. A questo punto, se il cliente nega il consenso alla comunicazione (cosa che può avvenire, poiché non è tenuto a riconoscere nell’outsourcer una sua naturale o funzionale controparte contrattuale), il Titolare non può dar luogo alla transazione via Internet, poiché, nell’acquisire i dati, li comunicherebbe automaticamente al terzo gestore senza il necessario consenso esplicito e, di conseguenza, rischia di incorrere nella sanzione penale per trattamento illecito, prevista dall’art. 167 del Codice Privacy. Quindi, nell’esempio citato, la comunicazione in sé è possibile, ma solo a patto di renderla lecita reperendo il consenso specifico dell’interessato: una via indubbiamente scomoda da percorrere.

Per ovviare al problema, il Titolare può decidere di nominare il gestore del sito Responsabile (esterno) del trattamento, limitatamente ai trattamenti e alle banche dati indispensabili alla fornitura del servizio di gestione del sito. In tal modo, il Responsabile entra sostanzialmente a far parte dell’organigramma di privacy del Titolare e il flusso di dati personali (qui, in particolare, sotto forma di messa a disposizione) intercorrente tra il Titolare e l’outsoucer potrà essere considerato come semplice trasferimento interno di dati, così come già avviene all’interno della struttura reale del Titolare ove la circolazione di informazioni tra Titolare stesso, Responsabile interno ed incaricati non necessita di adempimenti ulteriori rispetto a quelli indispensabili alla prima acquisizione dei dati da parte del Titolare. Riassumendo: se il Titolare ha dato informativa per acquisire i dati del cliente (ed è esentato, come nel caso citato, dal dover raccogliere il consenso), chiunque abbia ricevuto una nomina di privacy dal Titolare può trattarli lecitamente, quind’anche il soggetto che partecipa dall’esterno al trattamento dei dati.

Finora abbiamo esposto i vantaggi di cui può beneficiare il Titolare che nomini Responsabile il soggetto esterno. Invero anche quest’ultimo può trarre vantaggi dall’essere nominato. Infatti, se si osserva scrupolosamente il dettato normativo, il terzo che riceve i dati senza fare parte (perché non nominato) dell’organigramma del Titolare rischia di essere inquadrato a sua volta — sia dall’interessato che dalla legge stessa — come Titolare autonomo delle informazioni contenute nelle banche dati ricevute. In tal caso il terzo Titolare dovrebbe ripetere, ma a proprio nome, tutti gli adempimenti già effettuati da quel Titolare che gli ha comunicato i dati, partendo, però, da una posizione ancor più disagevole: se colui che vende il bene al cliente gode, come detto, dell’esenzione dall’obbligo di raccolta del consenso per esecuzione degli obblighi contrattuali, altrettanto non si può dire per l’outsourcer. Infatti, non v’è nessun contratto intercorrente tra questi e l’interessato e, pertanto, per legittimare il proprio trattamento non gli rimane che reperire il consenso esplicito alla propria attività di acquisizione dati secondo lo schema generale dell’art. 23. Ed andare a presentare un informativa ed a raccogliere il consenso presso un interessato a cui l’interlocutore appare sconosciuto ed a cui non ha richiesto alcuna prestazione o servizio, è opera improba, quando non vana. Accettando la nomina a Responsabile esterno, la società terza elimina questi problemi, ossia entra a far parte dell’organigramma di privacy del primo Titolare, i cui adempimenti (peraltro, semplificati rispetto a quelli che egli dovrebbe porre in essere, perché potrebbe bastarne l’informativa) valgono anche per il terzo e sono sufficienti a legittimare l’intero flusso di dati del cliente all’interno dell’organigramma "allargato". Per questo motivo, a nostro avviso, è bene che chi fornisce professionalmente servizi per enti o aziende, che comportino necessariamente il trattamento di dati personali raccolti dal committente, richieda esso stesso di essere nominato Responsabile, qualora non vi abbia già pensato il Titolare che gli permette di accedere ai dati o che glieli consegna. E’ il caso di chi gestisce siti per conto terzi, per chi manutiene memorie informatiche di aziende terze, per chi elabora paghe e contributi di dipendenti altrui, eccetera.

A scanso di equivoci si deve, anche, dire che il Titolare non può abusare del ricorso alla nomina per ricoprire e legittimare qualsiasi trasferimento di dati all’esterno della propria struttura. Essa si giustifica solamente se il terzo compie per conto del Titolare un’attività che questi ha esternalizzato, non ritenendo conveniente, o possibile, svolgerla mediante utilizzo delle risorse interne. Ed, a rigor di logica, risulta anche corretto che, il terzo al quale il Titolare deleghi una parte dei propri trattamenti, sia investito nella forma e nella sostanza della responsabilità rispetto a quanto egli esegue per conto altrui, che riceva le istruzioni del caso dal Titolare, che ne risponda a livello contrattuale per i casi di violazione. Ugualmente il Titolare, mediante nomina, si assume le proprie responsabilità in merito alla qualità (esperienza, capacità, affidabilità) del soggetto selezionato per l’esternalizzazione. In somma, oltre che a fornire notevoli benefici in termini di adempimenti per entrambe le parti, una corretta e ben ponderata nomina di un Responsabile esterno ripartisce meglio le responsabilità ed, inevitabilmente, può elevare il livello di attenzione per una migliore gestione e protezione dei dati degli interessati.

IL RESPONSABILE E LA SUA MENZIONE IN INFORMATIVA

Per quanti vantaggi le soluzioni sopra prospettate possano apportare, preme comunque rammentare che la presenza di un Responsabile esterno che possa venire a conoscenza dei dati deve essere palesata in informativa, esattamente come si deve (nel caso non si provveda a nomina) indicare il terzo a cui si comunicano i dati. E’ una questione di trasparenza e di correttezza su cui, giustamente, il dettato normativo non permette scorciatoie.

L’art. 13, comma 1, lett. d) dispone, infatti, che l’interessato debba essere preventivamente informato circa "i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi".

La suddetta disposizione di legge non deve essere applicata acriticamente e allo stesso modo alle due figure di Responsabile (interno od esterno).

Si consideri che, l’art. 13, comma 1, lett. d) del Codice, chiede di rendere sinteticamente noto all’interessato l’intero flusso che verrà seguito dai suoi dati, menzionando coloro che possono venirne a conoscenza, oltre che come terzi destinatari, anche come Incaricati o Responsabili facenti parte dell’organigramma di privacy del Titolare. L’utilizzo del termine "responsabili o incaricati" nel disposto in questione ha creato non poco sconcerto all’indomani dell’emanazione del Codice, dato che la precedente l. 675/1996 (all’art. 10) non ne recava traccia. Il timore era quello che la legge chiedesse, di punto in bianco, di rivedere le informative e di inserirvi tutti i nominativi di coloro che trattano dati per conto del Titolare: in altre parole, i nomi di tutti i dipendenti e i collaboratori. Oltre che una bella scocciatura per l’interessato che se la dovrebbe leggere, sarebbe stata anche un’opera di vanificazione dell’affidabilità dell’informativa stessa, poiché, al variare di un solo dipendente o collaboratore essa sarebbe divenuta obsoleta e, quindi, non valida. La ratio della norma (ovviamente, ma solo con interventi ufficiosi del Garante se ne è avuta certezza) è ben altra: all’interessato è necessario far sapere quali specifici ambiti della struttura del Titolare avranno legittimo accesso ai suoi dati. In tal modo, si intende rassicurare da una parte l’interessato e dall’altra costringere il Titolare a restringere la conoscibilità dei dati all’interno dell’azienda/ente ai soli soggetti che effettivamente dovranno trattare quei dati per lo svolgimento delle proprie attività ed il perseguimento della finalità di trattamento dichiarata nell’informativa stessa. L’interessato potrà, così, essere consapevole che, per il solo fatto di aver concesso i suoi dati, ad esempio, all’ufficio commerciale della ditta Alfa, non anche tutti i dipendenti dell’ufficio del personale della stessa ditta ne verranno a conoscenza. In tal modo, viene posto un freno all’indiscriminata facoltà di circolazione infra-strutturale del dato personale e viene fornita la possibilità di valutare la pertinenza degli ambiti autorizzati al trattamento rispetto alle finalità della raccolta. Il Titolare, da parte sua, sarà consapevole che dovrà costruire un sistema di autorizzazione ed accessi (anche informatici) tale da permettere l’utilizzo di quei dati ai soli incaricati effettivamente legittimati. Riassumendo, per il caso portato ad esempio, in informativa sarà sufficiente affermare che coloro che possono venire a conoscenza dei dati dell’interessato in qualità di incaricati sono "il personale dell’ ufficio commerciale" (naturalmente si menzioneranno altre unità, se coinvolte): l’indicazione della classe omogenea di operatività è un parametro adeguato.

Seguendo questa linea interpretativa dell’art. 13, comma 1, lett. d), arriviamo a comprendere come menzionare i Responsabili.

Se abbiamo detto che la legge ci chiede di delineare la tipologia di soggetti che può venire a conoscenza dei dati in qualità di incaricati, sarà superfluo e ridondante aggiungere che anche il loro Responsabile li può trattare (per rimanere nell’esempio, il Responsabile interno preposto alla gestione dei dati trattati dall’ufficio commerciale può non essere menzionato se abbiamo già citato il personale dello stesso ufficio come classe omogenea di incaricati autorizzati al trattamento). La ratio della norma, ribadiamo, è quella di far capire a chi vanno i dati una volta consegnati al Titolare. Elencate le classi omogenee di Incaricati, l’interessato viene a conoscenza del flusso infra-strutturale e non v’è bisogno di elencare tutti i Responsabili di settore (ossia delle classi).

La conferma dell’inutilità dell’elencazione di tutti i responsabili interni ci viene fornita dal disposto dell’art. 13, comma 1, lett. f), dove si afferma che in informativa è sufficiente menzionare il solo Responsabile designato per il riscontro alle richieste ex art. 7. I nominativi dei restanti Responsabili interni saranno inseriti in un elenco messo a disposizione dell’interessato mediante pubblicazione sul sito Internet aziendale o previa interrogazione presso altri recapiti indicati in informativa (telefono, fax, e-mail, ecc.).

A questo punto non rimane che chiedersi come e con quale livello di dettaglio debbano essere menzionati i Responsabili esterni. A nostro avviso, è poco opportuno menzionarli nominalmente. Bisogna tener presente che, al variare di qualsiasi notizia riportata in informativa, questa dev’essere modificata e nuovamente fornita a tutti gli interessati perché l’informativa originaria è divenuta inidonea (e, pertanto, cada una, passibile di sanzione amministrativa ai sensi dell’art. 161 del Codice). E, con effetto a cascata, se l’informativa è divenuta inidonea perché è cambiato qualcosa, il consenso eventualmente rilasciato a suo tempo dall’interessato non è più valido, poiché la volontà si era formata su notizie non più attuali: continuare a trattare i dati dell’interessato senza reperire un nuovo consenso basato su una nuova informativa potrebbe esporre il Titolare ai profili penali della sanzione per illiceità del trattamento prevista all’art. 167 del Codice. Dunque, se indichiamo il nome o la ragione sociale dell’outsourcer che abbiamo nominato Responsabile esterno e poi vogliamo o dobbiamo sostituirlo, dovremo fronteggiare l’impatto profondamente negativo dell’obbligo di dover ripetere tutte le informative che, in alcuni casi, può significare gran dispendio organizzativo ed economico: si pensi all’eventualità per una grande azienda/ente di dover spedire via posta (visto che di rado l’occasione di contatto fisico col cliente si ripete) migliaia di informative. Se poi, in specie, eravamo tenuti (e vi avevamo a suo tempo provveduto) anche alla raccolta del consenso, dovremo quantomeno spedire buste preaffrancate a nostre spese per agevolare il ritorno di un consenso nuovo e valido (con la prospettiva, comunque, di una percentuale di ritorno bassissima per la comprensibile inerzia dell’interessato). E oltre alle energie profuse dal Titolare si consideri che, comunque, l’interessato non è mai contento di ricevere una nuova informativa e di firmare altre carte.

E’ chiaro, a questo punto, che inserire in informativa il nominativo del Responsabile esterno può essere controproducente, ma questo non ci autorizza a limitarci ad indicazioni eccessivamente vaghe o generiche. E’ accaduto spesso che, per crearsi un maggiore margine di sicurezza, Titolari risolvessero la questione con perifrasi del genere: "i Suoi dati potranno essere trattati da soggetti terzi di cui la ns. organizzazione si avvale per fornirle il servizio". Tanto valeva rinunciare all’indicazione. Per rendere l’informazione trasparente ed utile si dovrà indicare il tipo di attività esternalizzata e ricorrere una perifrasi del genere: " i Suoi dati potranno essere visualizzati anche dalla società che sovrintende il nostro sistema informatico e che la ns. struttura ha nominato Responsabile del trattamento limitatamente agli accessi tecnici per esigenze di manutenzione dello stesso". Oppure: "i Suoi dati - anche quelli di carattere sensibile - saranno trattati dallo Studio di consulenza di cui la nostra società si avvale per l’elaborazione e il computo delle paghe e dei contributi di Sua spettanza e che abbiamo, per garantire una maggiore tutela, provveduto a nominare Responsabile del trattamento". O ancora: "ai Suoi dati potrà avere accesso anche la società che riscuote, su concessione di questo Ente, i tributi relativi alla raccolta dei rifiuti e che è stata, a tal fine ed appositamente, nominata Responsabile del trattamento". O, facciamo il caso di una persona fisica: "i dati personali (anche sensibili) da Lei rilasciati tramite test attitudinale saranno trattati da uno psicologo della ASL che la ns. società ha preposto alla valutazione della idoneità all’assunzione e che, consci delle particolari necessità di riservatezza, ha a tal fine nominato quale Responsabile esclusivamente legittimato al trattamento di tali dati".

Siffatte indicazioni, pur prive di riferimenti nominativi, rendono certa la natura del terzo che compartecipa al trattamento del Titolare e lasciano intendere quale attività compia sui dati: il flusso extra-strutturale dei dati è chiaro (la qual cosa reca anche un non secondario effetto rassicurante).

Consci della complessità di quanto riferito, proviamo a riassumere le modalità con cui si devono menzionare i soggetti facenti parte del nostro organigramma di privacy in informativa. La finalità da tener presente è solo una e semplice: informare, sinteticamente ma chiaramente, l’interessato circa la sorte dei suoi dati in riferimento a chi partecipa al trattamento. E allora:

  • Innanzitutto, chiariamo il flusso infra-strutturale dei dati indicando le sole classi di incaricati (menzionate per unità o divisione o ufficio o area o mansione o qualifica) che con riferimento alle finalità della raccolta, potranno effettivamente trattarli. Potremo evitare di menzionare i Responsabili interni che sovrintendono i trattamenti svolti dagli incaricati appena citati, perché la loro partecipazione al trattamento è più che scontata;

  • Se abbiamo più Responsabili Interni, ne indicheremo uno solo, ossia quello delegato a rispondere, nei ristretti termini di legge, alle richieste degli interessati. Per semplicità, porremo la menzione del Responsabile "interlocutore" in quella parte dell’informativa ove si ricordano all’interessato i Suoi diritti e le relative modalità di esercizio. Sempre per evitare gli inconvenienti dovuti ad eventuali mutamenti, potremo limitarci a indicare la carica pro-tempore di questo Responsabile (ad esempio: "il Responsabile del trattamento presso cui inoltrare le richieste di cui all’art. 7 è il Direttore dell’Ufficio Clienti);

  • Dovremo (oltre alla tipologia di terzi estranei destinatari di comunicazione) indicare tutte le attività esternalizzate che comportano un trattamento di dati da parte dell’outsourcer. Lo faremo senza spendere il nome o la ragione sociale del terzo, ma cercando di specificare quanto più possibile il tipo di attività svolta dal terzo per nostro conto, di modo da non lasciare adito a dubbi;

  • Faremo presente che l’interessato può conoscere in qualsiasi momento i nominativi degli altri Responsabili (ossia dei restanti Responsabili interni e di tutti i Responsabili esterni) consultando il nostro sito Internet oppure contattando il Responsabile interno menzionato o altri appositi recapiti.

IL RESPONSABILE E LA MENZIONE NEL D.P.S.

Abbiamo detto di quali scenari si possano prospettare, quando il Titolare decide di affidare all’esterno una parte della propria attività che comporti il trattamento di dati per suo conto. In sintesi, le opzioni possibili sono:

  • non intervenire con strumenti di nomina ed assoggettarsi al più rigido regime che si instaura conseguentemente alla comunicazione dei dati a terzi (obblighi di informativa e di raccolta del consenso alla comunicazione per il Titolare ed obblighi di informativa e di raccolta del consenso al trattamento per il destinatario, che diviene, a sua volta, Titolare autonomo su dati che l’interessato non gli ha direttamente e volontariamente fornito);

  • nominare il soggetto esterno "Responsabile del trattamento". Il Titolare lo incorpora nel proprio organigramma di privacy, estendendo al terzo gli effetti e i benefici degli adempimenti di sua competenza (per fictio iuris, il trasferimento di dati al terzo Responsabile è qualificato come trasmissione interna, anziché comunicazione all’esterno).

Abbiamo anche detto che, a prescindere dall’opzione di cui ci si avvale, la notizia dell’esternalizzazione dei dati dell’interessato deve essere comunque portata alla conoscenza di costui tramite informativa e, in specie, mediante indicazione:

  • dei soggetti o categorie di soggetti a cui i dati possono essere comunicati;

  • dei soggetti o categorie di soggetti che possono venire a conoscenza dei dati in qualità di Responsabili.

Queste indicazioni sono sufficienti ad avvertire l’interessato del fatto che i suoi dati non rimarranno soltanto nella struttura a cui egli li ha forniti, ma che verranno, per i motivi di cui il Titolare dà conto nell’informativa stessa, trasferiti a soggetti ben identificati o identificabili.

Qualora, però, l’affidamento in outsourcing di parte della propria attività a terzi comporti il trasferimento a questi di dati sensibili o giudiziari trattati su strumenti elettronici, il legislatore non si accontenta della trasparenza delle notizie rese in informativa (di cui, invece, continuerà a dover accontentarsi l’interessato). La circolazione in formato elettronico e al di fuori della struttura del Titolare dei dati più delicati comporta un innalzamento del livello di rischio che, anche in considerazione del fatto che nessuno obbliga il Titolare al coinvolgimento (seppur legittimo) di terzi nella propria attività di trattamento, si ritiene debba essere garantito con ulteriori indicazioni e rassicurazioni. Tali notizie e garanzie debbono essere inserite nel Documento Programmatico sulle Misure Minime di Sicurezza: un documento che rimane presso la struttura del Titolare. L’art. 19.7 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza, All. B del Codice Privacy, impone al Titolare che tratti dati sensibili o giudiziari su strumento elettronico di fornire "la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare". Tale descrizione va resa, lo ripetiamo, a prescindere dalla qualifica del destinatario dei dati: soggetto meramente terzo (Titolare autonomo) o terzo nominato Responsabile dal mittente dei dati.

Un inciso. Qualora il Titolare non esternalizzi trattamenti di dati sensibili, la menzione in D.P.S. non è obbligatoria. Tuttavia, chi deve redigere il D.P.S. perché tratta dati sensibili su strumento elettronico, pur non trasferendoli ad alcun outsourcer, è bene che provveda ugualmente a descrivere le attività esternalizzate aventi ad oggetto i soli dati personali comuni. Così facendo migliorerà la qualità del proprio Documento e ne migliorerà quel tasso di idoneità che va oltre il minimo richiesto dalla legge. E’ la medesima considerazione che, più in generale, ci porta ad affermare che redigere un D.P.S. anche quando non si è tenuti significa dotarsi della migliore delle misure idonee di sicurezza (con le citate ricadute benefiche ai sensi dell’art. 2050 del Codice Civile)

Tornando all’adempimento in senso stretto, nella pratica occorrerà delineare una descrizione delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi. E’ il Garante stesso a dirci — tramite le indicazioni rese nella guida operativa alla redazione del D.P.S. — quali debbano essere le informazioni essenziali da rendere per soddisfare il disposto di cui all’art. 19.7 dell’All. B del Codice:

Descrizione dell’attività "esternalizzata": indicare sinteticamente l’attività affidata all’esterno.

Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività.

Soggetto esterno : indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).

Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a:

1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;

2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;

3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere;

4. impegno a relazionare periodicamente sulle misure di sicurezza adottate —anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.

Pertanto, se, ad esempio, affidiamo la gestione di paghe e contributi ad un soggetto esterno che abbiamo nominato Responsabile del trattamento:

  • indicheremo nominalmente la società o il consulente che ci fornisce il servizio e potremo inserirne anche gli estremi del contratto e di nomina;

  • dichiareremo che i dati trasferiti sono esatti e aggiornati, pertinenti, completi e non eccedenti le finalità della raccolta;

  • descriveremo le eventuali misure di sicurezza che proteggono la trasmissione dei dati al terzo (ad esempio, una linea dedicata con sistema di cifratura);

  • indicheremo le banche dati che gli vengono trasferite (ad esempio: rilevazione presenze, ferie residue, permessi sindacali, lista invalidi, gestione regime previdenziale, infortunistica). Per un adempimento più efficace (e per rendere l’indicazione, oltre che minima, idonea) il consiglio è quello di indicare, non solo le banche dati elettroniche contenenti dati sensibili, ma tutte le banche dati, fin anche quelle cartacee contenenti dati personali comuni;

  • segnaleremo la tipologia di dati sensibili che sono rinvenibili in tali banche dati (dati sulla salute, sindacali, eccetera);

  • indicheremo i trattamenti che potranno essere effettuati in relazione alle finalità da perseguire (ad esempio, registrazione ed elaborazione per calcolo stipendi; comunicazione ad enti istituzionali, previdenziali o assicurativi; eccetera);

  • indicheremo come presupposto indefettibile dell’affidamento dell’attività la piena osservanza da parte del Responsabile e la totale adeguatezza della sua struttura a quanto disposto dal Codice della Privacy (con particolare riguardo agli obblighi sulla sicurezza) e definiremo le modalità di rilascio delle relative garanzie;

  • descriveremo le ulteriori e specifiche istruzioni del caso (ad esempio, potremo richiedere al terzo di limitare l’accesso ai soli suoi incaricati dotati di determinati requisiti o qualifiche; oppure, potremo richiedere che i dati rimangano cifrati sul server del terzo quando non sono coinvolti in una specifica sessione di lavoro);

  • specificheremo l’ampiezza dei nostri poteri di controllo sull’operato del terzo;

  • garantiremo che l’affidamento in esterno del trattamento e la relativa nomina a Responsabile cesseranno automaticamente al venir meno del rapporto contrattuale.

Se ben dettagliate, tutte queste indicazioni possono anche costituire il contenuto - le istruzioni - della nomina del Responsabile esterno (funzionalmente, prima redigeremo l’atto di nomina e poi ne trasferiremo — adattandolo ed integrandolo — il contenuto nella parte del D.P.S. relativa all’art. 19.7 dell’All. B del Codice).

Sia per quanto riguarda la nomina che per quanto concerne il riporto nel Documento Programmatico, emerge, però, una criticità di portata significativa: la sussistenza di una reale possibilità di controllo da parte del Titolare sull’operato del Responsabile esterno. Stando al dettato normativo, sul punto, non emergono differenze rispetto a quanto è stabilito per il Responsabile interno (ricordiamo che il Codice non menziona nemmeno i termini "interno" od "esterno"). Pertanto, viene logico supporre che il Titolare debba mantenere riguardo l’esterno il medesimo potere di vigilanza che deve esercitare sul Responsabile interno: la verifica concreta ed empirica sul suo operato. Ma, come ben si può immaginare, una cosa è verificare l’attività di un dipendente, altro è invadere l’operatività della controparte contrattuale. Una visita del Titolare presso la sede dell’outsourcer per verificare la presenza delle misure di sicurezza e l’idoneità del contesto logico ed organizzativo in cui si svolge il trattamento dei dati sarebbe, nella maggioranza dei casi, mal tollerata e potrebbe essere percepita come lesione dell’autonomia dell’attività del terzo (il quale, peraltro, potrebbe accadere neghi simile accesso al Titolare). In alcuni casi particolari, la circostanza potrebbe non presentare effetti traumatici per via del tipo di attività svolta o per l’obbligatorietà (statuita da norme non direttamente di privacy) del controllo: pensiamo ad un ospedale che verifica periodicamente le modalità di conservazione di dati genetici che ha affidato al terzo per finalità di ricerca scientifica. Ma nella maggioranza dei casi il problema sussiste e permane.

A nostro avviso, il Garante non ha, finora, fornito un’interpretazione che indichi una via sicura per uscire dall’impasse. Tuttavia, se ritorniamo alla guida operativa per la redazione del D.P.S., noteremo che al punto 4 delle indicazioni relative all’art. 19.7 dell’All. B del Codice si parla di "impegno a relazionare periodicamente sulle misure di sicurezza adottate (anche mediante eventuali questionari e liste di controllo)". Se impegniamo il terzo a rilasciare periodicamente puntuali dichiarazioni di conformità in relazione a quanto stabilito dalla normativa di privacy nonché in relazione a quanto da noi, più ulteriormente e specificamente, disposto per una migliore protezione dei dati affidatigli, potremo effettuare una sorta di controllo sull’attività del Responsabile esterno. Ovviamente, è bene che l’impegno sia messo sotto forma di clausola risolutiva espressa all’interno del contratto sottoscritto dall’outsourcer. E’ innegabile che un simile vincolo contribuisca non poco alla costruzione di un ambiente più sicuro per i dati personali e che, secondo buon senso, costituisca la forma più efficace di controllo dovendo questa risultare, al contempo, la meno invasiva possibile. Tuttavia, le perplessità rimangono: è pacifico che le verifiche sul Responsabile interno devono riguardare il suo effettivo operato, mentre quelle sul Responsabile esterno si limiteranno, giocoforza, a quanto da questi dichiarato periodicamente. Si tratta di una disparità di atteggiamento che non sembra trovare alcun addentellato nel dettato normativo. In pratica, il potere di controllo preventivo che il Titolare può mettere in atto mediante verifica anche quotidiana circa l’operato del Responsabile interno, non può essere parimenti esercitato sul Responsabile esterno. Per forza di cose ci si limiterà a valutare l’idoneità della dichiarazione di conformità del terzo nominato e a controllare che, nel tempo, non ci pervenga la sgradevole notizia di comportamenti difformi da quanto dichiarato. Poniamo che il Responsabile esterno abbia reso al Titolare una dichiarazione inappuntabile di piena conformità, ma che in realtà non abbia provveduto a formare i propri incaricati. E’, sì, vero che il soggetto esterno rischia, sia per quanto riguarda l’esecuzione della clausola di conformità e sia per la falsità delle dichiarazioni rese, ma è un rischio che può aver deciso di assumere, poniamo, perché non dispone al momento di danaro a sufficienza per erogare formazione ai propri dipendenti. Orbene, finché non si verifica un danno, il Titolare non saprà che l’ambiente a cui ha affidato il trattamento dei dati è altamente inidoneo; e questo accade perché non ha quella capacità di controllo preventivo e concreto che, viceversa, detiene ed esercita sul suo Responsabile interno.

Stando così le cose, si potrebbe pensare di ottenere un potere più incisivo di controllo, aumentando le verifiche documentali ed, in primo luogo, impegnando sistematicamente il terzo alla consegna di copia del proprio Documento Programmatico sulla Sicurezza. Resteremmo, tuttavia, sempre nell’ambito di verifiche limitate alle sole dichiarazioni: il Titolare non è un ufficiale della Guardia di Finanza che può farsi esibire il documento e verificare l’attinenza della dichiarazioni rese alla realtà mediante ispezione della struttura del dichiarante. Inoltre, un D.P.S. steso a regola d’arte reca notizie che non sempre è pertinente siano conoscibili da terzi, anche se questi siano Titolari del trattamento affidato alla struttura che ha redatto il documento di sicurezza: la dislocazione logico-organizzativa di tutti gli incaricati con loro indicazione nominale, tutti i trattamenti e le banche dati detenute dal terzo e che non riguardano l’attività svolta per conto di quel Titolare, i livelli di protezione in aree che non riguardano i trattamenti effettuati per conto di quel Titolare, le attività - sua volta - esternalizzate a terzi (con indicazione dei terzi contrattualizzati) dal Responsabile esterno per lo svolgimento di funzioni estranee a quelle eseguite per conto di quel Titolare, eccetera. Un D.P.S. ben fatto costituisce un preciso adempimento di legge, ma anche un utilissimo strumento gestionale connotato da tante e tali notizie a cui devono poter accedere, pienamente, solo gli appartenenti alla struttura e le autorità ispettive; non anche i terzi a qualunque titolo. Ciò non significa che il Titolare, per principio, non possa chiedere al Responsabile di avere in visione estratti di D.P.S. pertinenti all’attività svolta per suo conto o altri documenti (si pensi agli attestati di un consulente che ha verificato la conformità della struttura di privacy del terzo o che ha erogato formazione ai dipendenti, eccetera). Ma, a nostro avviso, il problema rimane: la pregnante attività di controllo e verifica richiesta dalla legge sull’attività del Responsabile non è effettuabile con la necessaria efficacia sull’outsourcer che rivesta tale carica. Atteniamoci, pertanto, alle indicazioni rese dal Garante nella Guida Operativa per la redazione del D.P.S.; oltre, estendiamo le nostre capacità di controllo fin dove possibile ed accettabile. Ma auspichiamo, al contempo, un intervento interpretativo autentico che faccia maggior luce sulla vicenda e che renda certi i tratti della nostra interazione con coloro a cui affidiamo parte della nostra attività di trattamento sui dati personali.

Per quanto concerne il Responsabile interno egli potrà comparire in vari punti del documento a seconda delle mansioni che gli sono assegnate. In ognuna delle seguenti descrizioni, che debbono essere rese in ossequio all’art. 19 del Disciplinare Tecnico, dovrà essere specificato il ruolo (se previsto) svolto dal preposto.

  • 19.2. "distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati";

  • 19.4. "misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità";

  • 19.5. "descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento";

  • 19.6. "previsione di interventi formativi degli incaricati del trattamento"

NOTA CONCLUSIVA

Un’ultima considerazione riguardo una questione che viene spesso sottovalutata: è fondamentale che il Responsabile interno del trattamento (quando è l’unico a ricoprire tale carica nella struttura) o il Coordinatore del Gruppo o Ufficio Privacy (quando vi sono più Responsabili del trattamento) non sia prescelto tra i soggetti posti in posizione subalterna rispetto ad altri dirigenti o responsabili di settore. L’autonomia di cui deve godere, nonché la capacità di impulso e di reazione alle varie esigenze di privacy e sicurezza, devono potersi dispiegare senza gli impedimenti o le remore che, di fatto, o per solo timore riverenziale, possono ricondursi ad uno stato di formale o sostanziale subordinazione.

Milano, febbraio 2006