Il Responsabile (interno o esterno) del trattamento dati e l’Incaricato alla luce del reg. 679/2016/UE e del d.lgs. 196/2013 come modificato dal d.lgs. 101/2018

Il codice della privacy italiano, introdotto con il d.lgs. 196/2003, contemplava la figura del Responsabile (art. 29) e dell’Incaricato (art. 30) del trattamento dei dati.
Entrambe queste norme sono state formalmente abrogate, a seguito dell’entrata in vigore del d.lgs. 101/2018 (che ha modificato il previgente d.lgs. 196/2003, tutt’ora in vigore).
Le due figure, quindi, oggi non sono espressamente disciplinate dal d.lgs. 196/2003, come modificato dal d.lgs. 101/2018 e, tantomeno, dal reg. 679/2016/UE.
Appare, quindi, opportuno valutare se dal reticolato normativo del regolamento europeo e della legislazione interna sia, comunque, tutt’oggi possibile il ricorso alla designazione di Responsabili interni e di Incaricati e se, soprattutto, queste due figure siano compatibili con il Regolamento.

Con riguardo, anzitutto, alla figura del Responsabile interno del trattamento l’art. 29 d.lgs. 196/2003 disponeva che “il responsabile è designato dal titolare” e precisava, altresì, che il responsabile effettua il trattamento attendendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle istruzioni.
Sotto la vigenza dell’art. 29 d.lgs. 196/2003 si riteneva, quindi, ammissibile sia la figura del responsabile esterno, sia quella del responsabile interno entrambi deputati a trattare i dati secondo le istruzioni impartite dal titolare. In particolare, il responsabile interno veniva utilizzato nella governance aziendale per attribuire responsabilità nella tutela della privacy, ai soggetti in posizione apicale.
Giova, tuttavia, rammentare che la distinzione tra responsabile interno ed esterno era una prassi operativa italiana che non trovava eguali negli altri ordinamenti, e neppure riconoscimento normativo ad opera della Direttiva 95/46/CE.
Con l’avvento del Reg. 679/2016, che, ancora una volta, non contempla tale figura, ci si è interrogati sulla possibilità di continuare a nominare Responsabili del trattamento interni.
Il regolamento, all’art. 28, disciplina la figura del “Responsabile del trattamento” che, tuttavia, per orientamento nettamente prevalente, è da riferirsi esclusivamente al Responsabile esterno. Nessun riferimento, invece, vi sarebbe alla figura del Responsabile interno.
Numerosi sono gli indici che inducono a ritenere l’art. 28 riferibile ai soli Responsabili esterni all’organizzazione:
  • il conferimento di incarico attraverso contratto o atto scritto: adempimento privo di giustificazione in caso di soggetti interni all’organizzazione del titolare;
  • la garanzia da parte del Responsabile dell’adozione di misure di sicurezza adeguate: elemento che presuppone necessariamente un’autonomia di organizzazione;
  • responsabilità solidale con il titolare per il risarcimento del danno;
  • previsione di autonome sanzioni a carico del Responsabile del trattamento;
  • obbligo di nomina (in presenza dei presupposti normativi) del DPO.
Questa interpretazione è stata avallata anche dal Gruppo Articolo 29 (v. parere 1/2010 Gruppo Articolo 29). In particolare, il WP29 evidenzia che il titolare del trattamento può optare tra trattare i dati all’interno della propria struttura e delegare, in tutto o in parte, il trattamento, ad un soggetto esterno. Quest’ultimo, quindi, deve essere persona (sia fisica sia giuridica) distinta dal titolare, ed esterna alla sua organizzazione.
Sennonchè, nonostante l’espressa regolamentazione della sola figura del Responsabile esterno e l’assenza di qualsivoglia riferimento normativo al Responsabile interno, nel nostro ordinamento si è aperto un dibattito circa la residua ammissibilità di tale figura.
Una parte minoritaria di commentatori continua, invero, ad ammetterne la possibilità di nomina ritenendo che l’art. 28 GDPR non si riferisca esclusivamente ai responsabili esterni e che, in ogni caso, l’assenza di una regolamentazione espressa non renderebbe di per ciò solo la figura incompatibile con la normativa.
L’accoglimento di questa ricostruzione, se da un lato consentirebbe il ricorso a questa figura, dall’altro aprirebbe, però, la strada ad una estensione della responsabilità anche ai responsabili interni (dipendenti del Titolare) per violazioni della privacy.
Preferibile appare l’interpretazione che, fedele al dato normativo, esclude l’ammissibilità del responsabile interno. Plurime sono le ragioni.
Anzitutto, secondo il noto broccardo latino ubi lex voluit dixit, ubi noluit tacuit, se il legislatore europeo avesse voluto ammettere la figura del Responsabile interno l’avrebbe espressamente disciplinata. Viceversa, non solo non vi sono norme che disciplinano tale figura, ma, come già osservato, le caratteristiche delineate dall’art. 28 per il Responsabile del trattamento appaiono compatibili esclusivamente con un Responsabile esterno.
Come già detto, per ammettere la figura bisognerebbe superare il dettato dell’art. 28 GDPR (e anche delle linee guida fornite dal WP29) e ritenere la norma applicabile anche in caso di nomina di Responsabili interni, nonostante i plurimi indici normativi di senso contrario.
Ciò, d’altro canto, comporterebbe l’applicabilità anche a questi ultimi di tutti i profili di responsabilità e delle sanzioni previste, appunto, per i Responsabili del trattamento. Si tratterebbe, però, di una forma di responsabilizzazione che difficilmente i dipendenti (e, soprattutto) le organizzazioni sindacali di categoria, sarebbero disponibili ad accettare.
Si potrebbe, piuttosto, ragionare sulla possibilità di far rientrare anche la possibilità interpretativa il Responsabile interno nel dettato dell’art. 4, n. 10 GDPR e dell’art. 2 quaterdecies d.lgs. 196/2003 (come modificato dal d.lgs. 101/2018).
Entrambe le norme contemplano, infatti, la possibilità per il Titolare del trattamento di autorizzare persone della propria organizzazione (sotto la sua diretta vigilanza ed autorità) al trattamento dei dati. Come meglio si vedrà, in seguito, queste norme sembrano, invero, più specificamente riferibili alla figura dell’incaricato, piuttosto che a quella del “vecchio” Responsabile interno.
Nondimeno, dal momento che entrambe queste norme utilizzano una terminologia generica di soggetto designato/autorizzato, senza introdurre alcun inquadramento formale sarebbe possibile ritenerle riferibili, in senso generale, a tutte le operazioni di trattamento dei dati personali che avvengono all’interno di un’azienda e che si collocano nell’ambito del rapporto di lavoro instaurato tra il Titolare ed i propri dipendenti/collaboratori. In sostanza, quindi, il Titolare potrebbe nell’ambito di queste deleghe di funzioni contemplate dall’art. 4, n. 10 GDPR e dall’art. 2 quaterdecies d.lgs. 196/2013 individuare due distinti ruoli di Responsabile interno (per gli apicali) e di incaricato (per tutti i dipendenti).
La differenza di ruoli dovrebbe, però, determinare anche una diversa attribuzione di mansioni e di responsabilità. La qualifica di responsabile, in quanto attribuita a soggetti apicali, dovrebbe avere la finalità di attribuire a questi soggetti determinate funzioni da svolgere, con autonomia decisionale e con possibilità di impartire direttive ai sottoposti, in nome e per conto del Titolare con liberazione di quest’ultimo.
All’atto pratico, però, alla luce delle previsioni normative deve escludersi tanto l’autonomia decisionale in capo al Responsabile quanto la liberazione da responsabilità del soggetto Titolare.
Quale interesse, potrebbe, quindi, esservi da parte del datore di lavoro/titolare del trattamento nel delegare specifiche funzioni (al Responsabile interno) se, di fatto, la delega non comporta una liberazione da responsabilità?
In conclusione, quindi, si ritiene che queste disposizioni siano da riferirsi alla figura dell’incaricato piuttosto che a quella del Responsabile Interno.
Alla luce di quanto evidenziato si ritiene, ad oggi, non opportuna la nomina di Responsabili interni, in quanto in assenza di regolamentazione in ordine all’ammissibilità e, soprattutto, alla distribuzione di responsabilità con il Titolare, questa potrebbe creare, all’atto pratico, solo confusione di ruoli e di mansioni.

Diversa considerazione deve invece essere fatta per la figura dell’incaricato del trattamento (ex art. 30 vecchio codice privacy). Anche in tal caso si tratta di figura non contemplata dal regolamento UE, che, tuttavia, non ne esclude la nomina. Questa l’interpretazione fatta propria anche dal Garante nelle proprie faq illustrative del GDPR. Il GDPR, infatti, fa espresso riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10 GDPR).
Anche il GDPR, quindi, individua una figura autonoma, diversa dal titolare e responsabile, che per poter compiere operazioni di trattamento deve preventivamente essere autorizzata e istruita in tal senso.
Lo stesso Garante precisa ancora che “le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di responsabilizzazione di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”.
“Autorizzato”, quindi, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Tanto dall’art. 4, quanto dall’art. 29 GDPR si desume che elemento essenziale è la necessaria supremazia che deve rivestire il titolare/responsabile nei confronti del soggetto autorizzato, divenendo questa condizione di legittimità dei trattamenti posti in essere da terzi in assenza di specifico contratto o altro atto giuridico ex art. 28 (c.d. Responsabili del trattamento).
Il rapporto di sottoposizione all’Autorità del titolare/responsabile, tendenzialmente, si ravvisa nei rapporti di lavoro subordinato e, quindi, in genere il soggetto autorizzato è una persona fisica appartenente all’organizzazione del titolare/responsabile. Non può, però, escludersi che rapporti di sottoposizione all’autorità possano sorgere indipendentemente da un rapporto di lavoro subordinato, come, ad esempio, nel caso di tirocinanti o stagisti.
Il regolamento non prevede l’obbligo di nomina o di designazione espressa, per il soggetto autorizzato, ma è fondamentale che gli vengano fornite istruzioni operative, secondo quanto stabilito dall’art. 29. Quest’ultima norma dispone che il “Trattamento sotto l’Autorità del titolare o del responsabile” stabilendo che chiunque agisca sotto l’autorità del titolare o del responsabile e che abbia accesso a dati personali non possa trattarli se non è istruito da questi ultimi.
Secondo i commentatori la designazione degli autorizzati può avvenire anche con un unico atto per più persone. L’eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova di conoscenza dell’incarico.
In ogni caso ciò che rileva non è tanto il conferimento scritto (in assenza, appunto, di una previsione espressa), ma, piuttosto, che vengano concretamente impartite le istruzioni e che gli incaricati vengono formati. La presenza di un incarico scritto, quindi, non necessariamente mette al riparo da possibili responsabilità (laddove non si dimostri di aver impartito le istruzioni, vigilato sulla loro osservanza e formato l’incaricato), mentre, viceversa, l’assenza di un conferimento scritto dell’incarico non determina automaticamente responsabilità.
Una figura del tutto similare a quella prevista dal GDPR è contemplata anche dall’art. 2 quaterdecies (“Attribuzione di funzioni e compiti a soggetti designati”) introdotto dal d.lgs. 101/2018. Questa disposizione prevede che “il titolare/responsabile del trattamento possono prevedere, sotto la propria responsabilità, e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.
I soggetti designati previsti dal d.lgs. 101/2018 sono persone fisiche che operano sotto l’autorità del titolare o del responsabile e che per poter compiere operazioni di trattamento devono essere state a ciò designate (cioè autorizzate) e specificamente istruite.
Non vi è dubbio, quindi, che il soggetto autorizzato previsto dal GDPR possa essere sovrapposto, per modalità di nomina e funzioni, a quello contemplato definito quale “designato” dall’art. 2 quaterdecies e che questi ultimi corrispondano, di fatto, nonostante la diversa terminologia all’incaricato disciplinato dal vecchio codice della privacy.
Alla luce di quanto osservato si ritiene, quindi, tutt’oggi ammissibile la nomina di incaricati, con la precisazione che, tuttavia, la responsabilità del trattamento rimane in capo al Titolare. Per il conferimento dell’incarico non è necessaria la forma scritta, mentre è necessario dare prova (con qualsiasi mezzo) di aver adeguatamente informato e formato il lavoratore.

Uno dei passaggi più delicati attiene alla distinzione tra il soggetto autorizzato/incaricato e il responsabile del trattamento dei dati di cui all’art. 28 GDPR.
Le due figure presentano numerose differenze tra loro, alcune di natura sostanziale, ed altre, di natura formale.
Dal punto di vista sostanziale, anzitutto, l’incaricato gode, rispetto al Responsabile del trattamento, di minore autonomia operativa e, quindi, anche di minore responsabilizzazione. Il soggetto incaricato, infatti, deve operare sotto l’autorità del Titolare o del Responsabile del trattamento e deve da questi essere istruito sulle modalità del trattamento. Questi ultimi, quindi, sono meri esecutori di direttive impartite dal Titolare o dal Responsabile e non possono operare assumendo iniziative proprie e discostandosi dalle istruzioni ricevute.
Ai sensi dell’art. 28, viceversa, il Responsabile del trattamento deve essere necessariamente dotato di un’autonomia organizzativa per poter garantire “misure tecniche ed organizzative adeguate a soddisfare i requisisti di tutela dei diritti dell’interessato”.
Vi sono, poi alcune differenze di tipo formale. La designazione del Responsabile deve, infatti, avvenire, ai sensi dell’art. 28 GDPR, necessariamente attraverso un contratto o un atto scritto, mentre non è prevista alcuna forma per la nomina del soggetto autorizzato.
D’altro canto, il soggetto autorizzato può essere solo una persona fisica, mentre il soggetto designato quale responsabile del trattamento può essere anche una persona giuridica.
Di fatto, quindi, può ritenersi che il soggetto autorizzato sia tendenzialmente persona interna alla organizzazione del titolare, dovendo operare sotto l’autorità di quest’ultimo (in genere i dipendenti, ma non è escluso che vi possano rientrare anche tirocinanti o stagisti), mentre il responsabile del trattamento, dovendo avere autonoma struttura organizzativa, sia un soggetto esterno (v. anche parere 1/2010 Gruppo Articolo 29).



Condividi:
Pubblicato in Privacy.