Il Codice privacy e il Regolamento UE 2016/679 (GDPR) prevedono la figura del responsabile esterno del trattamento dati, definita all’art. 4, par. 1, n. 8, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e, quindi, sotto specifiche indicazioni di quest’ultimo. L’art. 28 del medesimo testo normativo specifica poi che il responsabile nominato deve necessariamente essere in possesso di determinate competenze e precisi requisiti soggettivi, tali da soddisfare quanto richiesto dal Regolamento stesso e da garantire la tutela dei diritti degli interessati.
A supporto di ciò, si evidenzia come il Considerando n. 81 del Regolamento, chiarisce che: “(…) il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento (…)”.
Fin qui niente di nuovo rispetto a quanto già previsto dal precedente Codice Privacy (D. Lgs. 196/2003 [1]).
Il contratto – La vera ed importante novità introdotta dal GDPR [2] risiede, invece, nella disciplina del rapporto giuridico intercorrente tra titolare e responsabile esterno del trattamento dati.
Più precisamente, come sancito dal suddetto art. 28, il titolare stesso deve obbligatoriamente designare il responsabile del trattamento dati con un contratto o altro atto giuridico vincolante, riconducibile allo schema del mandato. In tale atto devono, peraltro, essere specificati gli obblighi ed i limiti cui il responsabile esterno deve attenersi. Tutto ciò premesso, appare necessario rivedere i contratti tra i suddetti soggetti stipulati antecedentemente all’entrata in vigore del GDPR, al fine di adeguarli a queste recenti novità normative.
Dal quadro fin qui sinteticamente delineato emerge, dunque, che il responsabile esterno, così come disciplinato dal recente GDPR [2], sia un soggetto estraneo all’azienda, cui viene affidato un trattamento o un insieme di trattamenti di dati personali da parte del titolare, e che agisce pertanto sotto la direzione di quest’ultimo.
Tuttavia, le difficoltà interpretative di questa recente normativa danno spesso luogo a problemi di applicazione pratica. Oggi, infatti, avviene in maniera sempre più frequente che società ed enti pubblici, vuoi per mettersi al riparo dalle severe sanzioni previste dal GDPR [2], vuoi per mancanza di specifica conoscenza della materia, decidano di nominare come responsabili esterni tutti quei soggetti con cui realizzano uno scambio di dati personali, creando così situazioni ingestibili anche dal punto di vista delle rispettive responsabilità.
Cosa ne pensa il Garante – Di recente si è resa, a tal proposito, necessaria una pronuncia del Garante nazionale [3], a fronte di una segnalazione da parte di un’azienda che rileva le problematiche derivanti da una prassi che si sta diffondendo molto a seguito dell’entrata in vigore del GDPR [2].
In particolare, la stessa evidenzia come, successivamente all’applicazione del Regolamento UE 2016/679 [2], nei bandi di gara per l’affidamento dei servizi assicurativi, alcuni enti aggiudicanti (enti pubblici e/o società controllate o partecipate da enti pubblici) prevedano che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento. In tal modo si ottiene spesso l’effetto di imporre all’impresa assicuratrice che intenda partecipare alla gara, di accettare l’attribuzione del ruolo e degli obblighi del responsabile del trattamento, pena l’esclusione dalla gara stessa. Tuttavia, non è questo ciò che si desume dalla vigente disciplina in materia di protezione dei dati personali, così come così come novellata dal suddetto Regolamento UE 2016/679.
Infatti, alla luce della definizione delle figure di “titolare” e di “responsabile”, dei relativi ruoli e delle rispettive responsabilità, emerge che il primo è il soggetto su cui ricadono le decisioni fondamentali riguardanti le finalità e le modalità del trattamento dei dati personali degli interessati, nonché una responsabilità generale (c.d. “accountability”) sui trattamenti posti in essere dallo stesso o da altri per suo conto, in qualità di responsabili ex art. 28 del Regolamento stesso [2]. Il responsabile, invece, svolge un ruolo che consiste nell’esecuzione di attività delegategli dal titolare il quale, dopo aver compiuto le necessarie valutazioni di carattere organizzativo, può individuare uno o più soggetti dotati di particolari requisiti e qualifiche (possesso di conoscenze specialistiche, di affidabilità, di risorse) idonei allo svolgimento delle suddette attività, perimetrando l’ambito delle attribuzioni e dettando specifiche istruzioni sui trattamenti da eseguire.
E’ necessario, quindi, effettuare, di volta in volta, una accurata valutazione della specificità dell’attività posta in essere nel caso concreto, al fine di qualificare un determinato soggetto come titolare ovvero come responsabile del trattamento, non rilevando invece la modalità con cui l’ente aggiudicante effettua la scelta o la selezione del soggetto che fornirà il servizio, modalità che nel suddetto caso di specie, consiste in una gara di appalto.
Di conseguenza, il rapporto che viene ad instaurarsi tra ente aggiudicante ed impresa assicuratrice non può essere incasellato nella fattispecie del rapporto giuridico tra titolare e responsabile del trattamento. A sostegno di ciò, infatti, si osserva che l’attività assicurativa è oggetto di una specifica normativa di settore che ne riserva l’esercizio esclusivo a soggetti specializzati (le imprese assicurative) i quali operano sotto la vigilanza di un’Autorità di controllo, per cui sicuramente non è possibile delegare l’esercizio di questa attività tramite una gara. Pertanto, la società assicuratrice, aggiudicataria del servizio in oggetto, non pone in essere un trattamento di dati per conto dell’ente aggiudicante, circostanza che la inquadrerebbe nella figura del responsabile del trattamento, bensì agisce in qualità di “autonomo titolare” e, quindi, non sottostà alle direttive e al potere di controllo del titolare del trattamento, ma, al più, deve rilasciare una dichiarazione che attesti di aver rispettato quanto richiesto dalla normativa in materia di privacy e che i dati personali che ha ricevuto dal titolare saranno trattati solo per il tempo necessario e per il fine specifico per il quale le sono stati comunicati.
Questa qualifica di titolare autonomo del trattamento, in cui viene incasellata la figura della società assicuratrice, risulta conforme anche con la normativa di settore (artt. 1882 e ss. c.c.) in base alla quale l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti.
Di conseguenza, il trattamento dei dati personali dovrà essere conforme alla suddetta disciplina e la norma che rileva per legittimare il trasferimento, da parte del soggetto aggiudicante alla compagnia aggiudicataria, avente ad oggetto i dati stessi, diversi da quelli di cui agli artt. 9 e 10 del GDPR [2], va individuata nell’art. 6, par. 1, lett. b) del medesimo Regolamento.
Al fine di realizzare gli scopi di accountability, sanciti dall’art. 25 del GDPR [2], sarebbe altamente opportuno indicare all’interno del bando di gara, gli elementi ed i requisiti volti ad individuare i contraenti che diano le massime garanzie in tema di protezione dei dati personali.
Questo sarebbe senz’altro un utile espediente per limitare la portata dei problemi pratici, come sopra esposti, insorti successivamente all’entrata in vigore della nuova normativa, problemi che danno luogo talvolta a situazioni ingestibili sia per il titolare del trattamento sia per il professionista o per la società esterna.
dott. Gianmarco Miele