Il fornitore non è sempre responsabile del trattamento

Il fornitore non è sempre responsabile del trattamento

Nonostante siano trascorsi più di ventiquattro anni dalla prima Direttiva 95/46/CE e siano stati versati fiumi di inchiostro sulla distinzione tra le figure del titolare e del responsabile del trattamento[1], ancora oggi persistono malintesi ambiti applicativi della disciplina sulla privacy che inducono taluni a confondere le ipotesi di ricorso all’una o all’altra figura.

Ebbene, con parere reso con doc. web n. 9169688 il Garante per la protezione dei dati personali ha chiarito – finalmente, aggiungerei, e in modo abbastanza inequivocabile – quali prestatori di servizi debbano essere nominati responsabili del trattamento (processor; ex art. 4, n. 8 e 28 GDPR) e quali, invece, debbano considerarsi autonomi titolari (controller, ex art. 4, n. 7 e 24 GDPR).

Il caso si pone in ordine alla prassi adottata dagli enti pubblici e dalle loro società in house di pretendere che le compagnie assicurative aggiudicatarie di bandi debbano necessariamente assumere il ruolo di responsabili del trattamento. Tale situazione pone spesso l’impresa assicuratrice davanti al «bivio di dover decidere se accettare l’attribuzione del ruolo e degli obblighi del responsabile del trattamento e partecipare alla gara, o se rifiutarla ed essere esclusa».

Una scelta difficile

La questione non è da poco conto. Molto spesso, studi legali e commercialisti, ma anche consulenti del lavoro (e le imprese di assicurazione, come nel caso qui in commento), sono indistintamente nominati dai propri clienti come responsabili del trattamento. La nomina, talvolta, diventa addirittura pretesa per l’affidamento dell’incarico o della commessa. Nominare consulenti e fornitori come responsabili del trattamento è insomma un approccio largamente adottato dalle aziende anche nel settore privato, talvolta addirittura imposto, più per consuetudine che per effettive esigenze.

In realtà, va innanzi tutto detto che converrebbe assai più che un’impresa si relazionasse solo con autonomi titolari per evitare di incorrere in tutti quei profili di responsabilità nella scelta e vigilanza dei responsabili che il GDPR impone (artt. 28 e 29 GDPR). Ma soprattutto, non si tratta di una scelta che prescinde dalle circostanze concrete e che può essere ridotta ad una mera qualificazione formale ex ante, ma al contrario, è una scelta che deve essere compiuta caso per caso, in punta di diritto, ravvisando quando il servizio fornito dal terzo ricade in una funzione tipica di responsabile del trattamento, che necessita di apposita nomina (contratto), da tutti i casi in cui ciò non accade e nei quali quindi non si deve far ricorso a siffatta nomina in quanto il terzo opera quale titolare. Vedremo che esistono anche casi “misti”, cioè nei quali il fornitore è titolare per certi aspetti e responsabile per altri.

Una prima fondamentale distinzione

Per procedere correttamente alla distinzione dei due casi (titolare e responsabile) è necessario in primis chiarire un concetto di base molto spesso dimenticato, ovvero che l’attribuzione della qualifica di titolare non è conseguente ad un atto formale di chicchessia, ma è una circostanza di fatto rilevante per l’ordinamento il quale riconduce ad essa alcune conseguenze; cioè, appunto, il riconoscimento in capo ad un soggetto di determinate responsabilità quale titolare del trattamento.

Al contrario, la qualifica di responsabile del trattamento non può che avvenire attraverso l’adozione di un atto formale (nomina o contratto che dir si voglia) con cui un titolare, nel perseguimento di fini propri e in un’ottica di efficientamento dei processi aziendali e di esternalizzazione degli stessi, affida ad un terzo il trattamento di alcuni dati personali.

Il parere del Garante.

Alla luce della necessaria premessa svolta nel precedente paragrafo, vien da sé che un titolare ricorre a responsabili terzi allorché esternalizza attività di trattamento che potrebbe svolgere da sé. È proprio questo il passaggio che il Garante ha sottolineato.

È opinione dell’Autorità, infatti, che il discrimine tra titolare e responsabile risiede nella necessaria o meno esternalizzazione dei trattamenti: se trattasi cioè di trattamenti che potrebbero essere compiuti in house, il fornitore deve essere nominato responsabile, se si tratta invece di trattamenti che per loro natura o per prerogativa dei soggetti a cui sono affidati, non potrebbero essere compiuti internamente da articolazioni aziendali, il fornitore deve essere riconosciuto quale autonomo titolare (o in certi casi contitolare) e non si deve procedere ad alcuna nomina o altro atto formale, fatta eccezione ovviamente per il contratto di consulenza o fornitura.

In tale prospettiva, un professionista o un fornitore di servizi non tipici dell’azienda (es.: le compagnie di assicurazione), non devono essere nominati responsabili del trattamento in quanto agiscono in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Tali soggetti, in altri termini, non si limitano ad effettuare un’attività meramente esecutiva di trattamento “per conto” del cliente, bensì esercitano un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento.

Con particolare riguardo agli avvocati – categoria cui appartengo e sulla quale posso azzardare qualche precisazione – farei un’ulteriore distinzione[2]. Nella misura in cui l’avvocato tratta i dati per l’esercizio di attività giudiziale o precontenziosa (attività riservata ex art. 2, comma 5, della Legge 247/2012Nuova disciplina dell’ordinamento della professione forense), egli agisce come autonomo titolare (stessa cosa per i dati trattati dall’avvocato per i propri clienti e collaboratori). Nel caso in cui, invece, l’avvocato tratta i dati personali forniti da un cliente o da un terzo per lo svolgimento di attività stragiudiziale non riservata (es.: due diligence nell’ambito di operazioni societarie) egli dovrebbe compiere le operazioni di trattamento sui dati solo previa nomina quale responsabile da parte del loro titolare[3].

Conclusioni

L’impostazione del Garante riflette le considerazioni già svolte dall’autorità il 22 gennaio scorso in occasione di una Risposta data al Consiglio nazionale consulenti del lavoro su un quesito relativo al ruolo che questi assumono dopo la piena applicazione del Regolamento (UE) 679/2016 (risposta che rigetta in parte le conclusioni del Consiglio sul medesimo tema ed espresse con eccessiva sicurezza[4] con circolare n. 1150/2018). In questo documento il Garante distingue i trattamenti compiuti dal consulente e riguardanti i propri dipendenti e i clienti persone fisiche, rispetto ai quali agisce come titolare, dai trattamenti che il consulente compie sui dati dei dipendenti dei propri clienti (per esempio per l’elaborazione delle buste paga) rispetto ai quali egli agisce come responsabile. Qualcosa di analogo, quindi, a ciò che propongo per il ruolo dell’avvocato e che dovrebbe essere applicato a tutti i professionisti o fornitori.

È quindi necessario di volta in volta verificare se l’attività di trattamento chiesta al terzo sia un’attività propria del titolare, che egli potrebbe svolgere autonomamente, o se invece si tratta di attività che può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore. Nel caso delle compagnie di assicurazione, per esempio, l’attività assicurativa è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; D.Lgs. n. 209/2005 – Codice delle assicurazioni; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1, Cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo. Medesime considerazioni valgono per gli ordini professionali o per altre attività vigilate o “riservate” agli iscritti in appositi albi.

In tutti tali casi il terzo incaricato dal titolare di eseguire un determinato lavoro tratta i dati personali, connessi a tale lavoro, in qualità di autonomo titolare in quanto non pone in essere un trattamento “in nome” del cliente, circostanza questa che priverebbe il consulente o fornitore dell’autonomia necessaria impostagli dalla legge[5], ma per conto del cliente e in nome proprio

[1] Tra cui il Parere 1/2010 (WP 169) del Gruppo dei garanti europei del 16 febbraio 2010.

[2] Su questo punto le linee guida edite dal CNF (Il GDPR e l’Avvocato), non brillano per chiarezza e sembrano addirittura contraddirsi (cfr. le risposte nei capitoli «Quando l’avvocato è titolare del trattamento?» a p. 14 e «Quando l’avvocato è responsabile del trattamento?» a p. 22).

[3] Nel caso della due diligence, peraltro, la nomina dovrebbe essere rilasciata dalla società target e non, come talvolta avviene, dalla committente.

[4] Così recita la nota della Presidentessa del Consiglio: «Dunque non possono esservi dubbi sul fatto che il Consulente del lavoro nelle attività di trattamento dei dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di Titolare del trattamento. È possibile ritenere configurabile, al più, una fattispecie di co-titolarità».

[5] Nel caso delle compagnie di assicurazione, per esempio, la non autonomia sarebbe di ostacolo ad una corretta valutazione e liquidazione del danno. Spetta infatti ad esse, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio (in tal senso, v. anche artt. 1882 e ss. c.c.).

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Ascolta il nostro podcast IusPod – tutto il diritto che conta a questo link.

Print Friendly

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Di seguito è riportato in forma sintetica e sistematica il contenuto delle disposizioni in tema di ...

Coronavirus

Il fornitore non è sempre responsabile del trattamento

Se la banca chiede il consenso al trattamento dei dati sensibili commette illecito. Queste potrebber...

Privacy

Il fornitore non è sempre responsabile del trattamento

Dopo la tanto discussa sentenza del TAR Friuli Venezia Giulia, che ha stabilito che un responsabile ...

Privacy

X