Siete qui: Oggi sulla stampa
Oggi sulla stampa

Forniture mai senza privacy

Quando si esternalizzano compiti e funzioni non bisogna dimenticarsi della privacy. E ruoli e responsabilità «privacy» devono essere messi nero su bianco, seguendo un facsimile predisposto dal Garante della privacy. Lo sottolinea la legge europea 2017, approvata definitivamente dalla camera l’8 novembre 2017, che modifica l’articolo 29 del Codice della privacy (sul responsabile del trattamento), anticipando in gran parte il contenuto dell’articolo 28 del regolamento Ue 2016/679 sulla protezione dei dati (efficace dal 25 maggio 2018).

Un’impresa o un ente pubblico svolge la sua attività tipica e istituzionale sia con la propria organizzazione e il proprio personale sia avvalendosi di fornitori esterni, i quali ultimi eseguono l’attività o pezzi dell’attività. L’esternalizzazione del servizio o di pezzi del servizio molto spesso comporta l’invio delle informazioni necessarie all’espletamento del compito. Tali informazioni possono essere «dati personali».

Tanto per fare un esempio, esternalizzare la compilazione delle buste paga implica il passaggio, dal datore di lavoro al fornitore di servizi di consulenza del lavoro, dei dati dei lavoratori. E lo stesso capita per i dati dei clienti di un’impresa, in relazione all’esecuzione degli obblighi contrattuali. Il committente del servizio e il fornitore esterno, dunque, deve accordarsi sui profili della tutela della riservatezza delle persone, i cui dati transitano dal primo al secondo e viceversa.

Se protezione dei dati personali significa che l’interessato non deve perdere di vista le informazioni che lo riguardano, allora la trasmissione dei dati è un’operazione da monitorare. E il monitoraggio si fa innanzitutto richiedendo a committente e fornitore esterno di formalizzare il loro rispettivo ruolo e le loro responsabilità.

In altre parole l’interessato (cui si riferiscono i dati) deve poter sapere se, come e quando i suoi dati sono passati dal soggetto Alfa al soggetto Beta e quali ruoli sia Alfa che Beta stiano giocando.

Le possibilità sono in astratto due:

1) Alfa e Beta sono sullo stesso piano e decidono insieme finalità e modalità del trattamento: in questo caso si parla di «contitolarità del trattamento»;

2) Alfa e Beta non sono sullo stesso piano, in quanto Beta tratta i dati per conto di Alfa: in questo caso abbiamo un «titolare del trattamento» (nell’esempio, Alfa) e un responsabile del trattamento (Beta).

In tutti e due i casi bisogna scrivere atti e documenti che chiariscano bene la vicenda nell’interesse della persona fisica cui si riferiscono i dati.

La parola d’ordine è documentazione. La legge europea 2017, come detto, si occupa del responsabile del trattamento. E lo fa per stabilire che titolare (committente) e responsabile (fornitore esterno) devono redigere un «atto giuridico», principalmente un contratto, in cui esplicitare i loro rapporti sulla falsa riga di modello, che il Garante della privacy metterà a disposizione.

Nel dettaglio la legge europea 2017 aggiunge due commi (il 4-bis e il 5) all’articolo 29 del Codice della privacy (dlgs 196/2003).

La prima integrazione (il comma 4-bis) recita che il titolare (alias l’impresa o l’ente pubblico) può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che assumono la qualifica di responsabile del trattamento.

Per la verità la possibilità di designare un soggetto esterno quale responsabile esterno del trattamento è già prevista dal codice della privacy. Quindi, fin qui niente di nuovo.

La parte effettivamente nuova è quella in cui il comma 4-bis prescrive che i titolari devono stipulare con i responsabili atti giuridici in forma scritta, che specificano: 1) la finalità perseguita; 2) la tipologia dei dati; 3) la durata del trattamento; 4) gli obblighi e i diritti del responsabile del trattamento; 5) le modalità di trattamento.

Altra parte nuova è quella in cui il comma 4-bis assegna al garante il compito di stendere schemi tipo degli atti fra titolare e responsabile.

La legge europea 2017 riscrive il comma 5 dell’articolo 29 del Codice della privacy ed elenca gli obblighi del responsabile del trattamento:

a) attenersi alle condizioni degli atti giuridici sottoscritti;

b) attenersi alle istruzioni ricevute dal titolare del trattamento.

La legge europea 2017 specifica le prerogative del titolare del trattamento, che si sintetizzano nel potere di vigilanza sull’osservanza, da parte del responsabile, delle norme sulla privacy, delle istruzioni ricevute e degli atti giuridici sottoscritti.

Cerchiamo di rendere l’effetto concreto di queste norme. Quando una società, nell’esempio sopra iniziato, affida prestazioni di assistenza dei clienti a una società di servizi esterna, dovrà scrivere un atto giuridico, nella quale si precisano tutti compiti e obblighi reciproci.

La società di servizi esterna dovrà tollerare ispezioni e/o dovrà elaborare relazioni periodiche sullo stato di applicazione della disciplina della privacy.

Si noti che i poteri ispettivi possono essere decisamente invasivi e, quindi, è meglio che titolare e responsabile si accordino trovando il giusto equilibrio.

Le disposizioni esaminate anticipano quanto disposto dall’articolo 28 del regolamento Ue n.2016/679, che impone un contratto (o altro atto giuridico) tra titolare e responsabile esterno del trattamento: anche la disciplina europea prevede il potere ispettivo del titolare del trattamento.

Il regolamento Ue prevede anche la possibilità che il responsabile del trattamento nomini un sub-responsabile del trattamento, seguendo gli indirizzi predefiniti dal titolare del trattamento.

Inoltre il regolamento Ue assoggetta a sanzione amministrativa la mancata stesura di un contratto tra titolare e responsabile del trattamento.

In ogni caso, a prescindere dei dettagli, il messaggio è chiaro: quando si mandano in giro i dati delle persone, a queste persone bisogna rendere conto e bisogna preoccuparsi di responsabilizzare i destinatari dei dati stessi.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Torna l’incubo della crescita sotto zero, con l’Europa che teme di impiantarsi nuovamente nel qu...

Oggi sulla stampa

Oggi sulla stampa

Il chief executive officer uscente di Ubs, il ticinese Sergio Ermotti, saluta la banca con cifre del...

Oggi sulla stampa

Oggi sulla stampa

Le quotazioni di Borsa di Mediobanca a ottobre si sono attestate a 6,88 euro di media con scambi gio...

Oggi sulla stampa