1 luglio 2019
Titolari e responsabili del trattamento, autonomia e unitarietà alla luce del GDPR
di Fabio Turano
Il GDPR ha rivoluzionato il rapporto tra i soggetti coinvolti nel trattamento dei dati. Vengono sottolineati i concetti di autonomia dei ruoli e unitarietà del trattamento, che si concretizza con l’attuazione delle misure di sicurezza. Vediamo nel dettaglio come è cambiata la normativa in materia e quali sono le più puntuali pronunce dell’autorità garante italiana sul tema.
La libertà data dal GDPR
Il trattamento dei dati personali è una serie di operazioni che solo raramente vengono svolte entro i confini della struttura del titolare, e questo deve potersi avvalersi della partecipazione di ulteriori soggetti chiamati a svolgere diversi compiti relativi allo stesso trattamento, ciò tuttavia non ne determina la frammentazione. Il legislatore europeo, pienamente consapevole della realtà dei fatti, ha inteso creare un modello normativo duttile e che si adattasse alla gran varietà ed alla dinamicità che nella pratica le operazioni di trattamento assumono. Effetto di questo è stata l’adozione di uno stile normativo contraddistinto da termini abbastanza generici, in modo da salvaguardare il più possibile l’autodeterminazione organizzativa delle parti. Lo spirito generale del GDPR, si è già detto tante volte, è quello di imporre la tutela degli interessati come risultato senza dettare particolari vincoli sul come raggiungerla.
Quanto sopra lo si può apprezzare già dalle definizioni che dà alle due categorie di attori: queste si limitano a far riferimento ai ruoli che avranno nel processo in una sorta di ideale, per quanto minimale, work brench: il titolare del trattamento è la persona o struttura che “… determina le finalità e i mezzi del trattamento…“, il responsabile del trattamento è la persona o struttura che “tratta dati personali per conto del titolare del trattamento” ovvero, volendo collegare le due disposizioni, la persona o struttura che attua determinate operazioni di trattamento sulla base delle finalità e mezzi definiti dal titolare.
L’autonomia delle parti e l’unitarietà del trattamento
La definizione data al responsabile del trattamento dagli artt. 4 e 28 è quindi connotata da una evidente genericità in modo da farvi rientrare una vasta gamma di rapporti col chiaro intento, comune allo spirito generale del GDPR, di lasciare alle parti grande autonomia nella definizione dei compiti ed agli esperti tanto di cui discutere. L’autonomia delle parti è un concetto chiave della nuova norma come lo è quello dell’unitarietà del trattamento e ciò deve estrinsecarsi, oltre che nelle finalità e nei mezzi, soprattutto nell’attuazione delle relative misure di sicurezza. Il compito di disegnare il sistema di sicurezza del trattamento dei dati personali resta in capo al titolare per la sua posizione di leadership, e questo deve, pertanto, agire con una certa ingerenza preventiva anche nelle operazioni delegate al responsabile, il quale, per contro, deve rendergli conto in assoluta trasparenza ed assisterlo tanto in fase di analisi e progettazione che in quelle di attuazione delle misure.
L’art. 28 par.1 nel dichiarare che il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” non fa altro che tracciare un collegamento i principi già contenuti negli artt. 24 e 25, elevando così a rango legislativo le prassi già consigliate dai più autorevoli standard, le quali da tempo raccomandano un’attenta definizione dei flussi verso i soggetti esterni e le relative precauzioni (si veda quale esempio il paragrafo 15 del prospetto A1 della norma ISO 27001). Come vuole la massima popolare, la robustezza di una catena è pari a quella del suo anello più debole, e nelle misure di sicurezza del trattamento questa, spesso, riguarda proprio le operazioni delegate al soggetto esterno.
La prassi delle clausole
Deve tuttavia riscontrarsi, nella realtà, un mancato recepimento del disegno unitario da parte di molti operatori: la prassi ci consegna molti disciplinari in cui davvero poca attenzione viene data alla pre-individuazione delle misure di sicurezza, mentre compaiono clausole con delle mere promesse del mantenimento di un determinato livello di sicurezza senza individuarle in concreto, ma solo inserendo un trasferimento dell’onere in capo al responsabile.
È una prassi decisamente da abbandonare: clausole del genere sono in primo luogo del tutto inutili, in quanto il generale mantenimento dell’adeguato livello di sicurezza è già imposto a tutti gli operatori dall’art. 32, ed inoltre contraddice i principi di accountability e di data protection by design, in quanto determinerebbero una frammentazione del compito di individuare le concrete misure di sicurezza ed il dettato dell’art. 28 par. 1: un disciplinare del responsabile che si limiti a trasferire l’onere di individuare le misure di sicurezza in capo a quest’ultimo non sarebbe conforme al Regolamento ed il contratto o la parte di esso che lo contiene potrebbe addirittura dichiararsi nullo.
L’evoluzione del rapporto titolare-responsabile
In questa seconda parte voglio analizzare la trasformazione del rapporto fra titolare e responsabile del trattamento alla luce delle nuove meccaniche imposte dall’entrata in vigore del GDPR; per usare termini prettamente giuridici, si è passati da un focus sulla situazione di diritto, cioè rivolta alle forme, ad uno incentrato sulla situazione di fatto cioè riferito al comportamento che le parti effettivamente vanno ad assumere. La pratica, ancora attuata da molti operatori, di utilizzare la formula “nomina responsabile del trattamento” deve pertanto considerarsi un mero retaggio della legislazione pre GDPR non più attuale.
Questa qualificazione non deve considerarsi un mero esercizio giuridico, ciò perché quando parliamo di una situazione di fatto questa si considera instaurata per la semplice conformità del comportamento delle parti alla protasi della norma, mentre al contrario, quando parliamo di una situazione di diritto, questa esisterebbe solo a seguito del compimento della forma sacramentaria, ed in assenza di essa parleremmo per tanto di due distinti trattamenti con due autonomi titolari. Gli effetti delle due impostazioni non sono irrilevanti: in un trattamento frammentato i due operatori non risponderebbero, almeno non direttamente, per gli eventi occorsi al trattamento dell’altro titolare, mentre in un trattamento unitario il soggetto titolare potrebbe rispondere anche per fatti del responsabile secondo le norme dell’art. 82 GDPR (oltreché secondo gli artt. 1218, 2043 e 2050 c.c.).
Per comprenderne le differenze pratiche, poniamoci nei panni di un interessato che si ritiene danneggiato da determinate operazioni di trattamento svolte da un’organizzazione per conto di un’altra e per cui non è stato redatto un regolare disciplinare di cui all’art. 28 GDPR: avremmo tutto l’interesse a ché il rapporto fra i due sia individuato comunque come quello fra titolare e responsabile (o come quello fra contitolari, il cui ruolo non è però oggetto delle presenti riflessioni) e non come titolari di autonomi trattamenti.
La normativa prima del GDPR
Occorre premettere che questa analisi, stante la novità, non può contare su alcuna massima giurisprudenziale successiva all’entrata in vigore del GDPR, e lo stesso ha rivoluzionato i rapporti fra i soggetti intervenenti nel trattamento. Nella vecchia formulazione del D.lgs. 196/03, l’art. 29 esprimeva che “Il responsabile è designato dal titolare facoltativamente”: l’uso del termine “designato” ci toglieva ogni dubbio sulla forma sacramentaria (mentre la Direttiva 95/46 non ne dava alcuna definizione).
Oltre questo dato normativo, per aver piena contezza di cosa fosse il Responsabile del trattamento prima del GDPR, dobbiamo far riferimento all’Opinion 01/2010 data dal WP29 “The existence of a processor depends on a decision taken by the controller, who can decide either to process data within his organization” e poi prosegue “the lawfulness of the processor’s data processing activity is determined by the mandate given by the controller. A processor that goes beyond its mandate and acquires a relevant role in determining the purposes or the essential means of processing is a (joint) controller rather than a processor”.
Questo chiarimento è ancora considerato il più autorevole sul tema, anche per l’assenza di una pronuncia aggiornata alle nuove norme.
Prima dell’entrata in vigore del GDPR, l’esistenza o meno del rapporto titolare-responsabile ruotava quindi intorno alla designazione da parte del titolare del trattamento. Al contrario, dall’attuale dato normativo del GDPR è scomparso ogni riferimento alla necessità di una designazione: l’art. 4, volendo puntare più sul ruolo in concreto svolto dal responsabile del trattamento, lo definisce semplicemente, ripetiamo, come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Al posto dell’atto di designazione sopraggiunge l’obbligo di un disciplinare regolato dall’art. 28 GDPR par. 3, il quale può consistere in un contratto o in qualsiasi forma di atto giuridico a norma del diritto dell’Unione o degli Stati membri. Questo può essere qualsiasi negozio di diritto privato, contrassegnato dal carattere della negozialità, ma anche di un atto di diritto amministrativo (se è coinvolta una Pubblica Amministrazione) con le regole fissate per questi. La prescrizione individuata dalla lett. a) dello stesso paragrafo vuole che le operazioni di trattamento da parte del responsabile avvenga su “istruzione documentata da parte del titolare”: questa precisazione, senza pretendere necessariamente una forma scritta, serve ad allontanare la tentazione che tali istruzioni possano individuarsi “per fatti concludenti”, tuttavia occorre ripetere che il mancato rispetto di questa norma va a colpire la regolarità del disciplinare, non la costituzione del rapporto titolare-responsabile.
La pronuncia del Garante della privacy
Passando all’analisi delle pronunce del Garante italiano dobbiamo preliminarmente rilevare che, dalla data di entrata in vigore del GDPR, non è mai stato investito direttamente della questione, tuttavia possiamo cercare di individuare “fra le righe” di altre pronunce un atteggiamento in merito. La più importante ed attesa pronuncia sul tema dei responsabili del trattamento è stata sicuramente la risposta data ad un quesito relativo al ruolo del consulente del lavoro il 7 febbraio 2019, ed i cui principi sono applicabili ad una miriade di categorie. Tale intervento, lungi dall’offrire una risposta unitaria per il ruolo considerato, ha inteso dichiarare la necessità di un’analisi casistica ed ha espresso che “egli (il consulente del lavoro) ricopre il ruolo di titolare del trattamento… (quando) non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento”; viceversa “figura del responsabile si pone, invece, (per) colui che effettua senza apprezzabili margini di autonomia operazioni di trattamento sotto l’autorità del titolare o del responsabile”.
Seppur il Garante non sia stato investito direttamente della nostra questione, il metro utilizzato in questa pronuncia è notevolmente diverso rispetto quello indicato dal WP29 con l’Opinion 1/2010: quest’ultima, come abbiamo visto incentrava la definizione su una decisione del titolare, mentre l’appena letta pronuncia del Garante italiano discerne le figure sulla base sull’esistenza o meno di un apprezzabile potere decisionale autonomo esercitato dal Responsabile, recependo il cambio di rotta imposto dal GDPR. Prima di concludere, occorre tuttavia precisare, per evitare equivoci, che in un paragrafo complementare dedicato ad un tema collaterale il Garante utilizza la locuzione “designazione a responsabile del trattamento”, utilizzando quindi la terminologia del vecchio art. 29 del D.lgs. 196/03: su tanto, mi sento tuttavia di poter escludere che il Garante abbia inteso determinarne la reviviscenza, e che l’utilizzo di tali termini sia stato un mero espediente descrittivo.
Al termine di queste riflessioni devo però ancora sottolineare che il Garante italiano, come l’EDPB non ha ancora preso una posizione diretta e specifica sul tema, raccomandando quindi una certa cautela nell’affrontare il tema che, mi sento di scommetterci, darà luogo ad intensi dibattiti innanzi le autorità giudiziarie, almeno fin tanto che l’EDPB o il Garante nazionale daranno delucidazioni dirette a puntualizzare il superamento dell’Opinion 1/2010.
Fabio Turano
Consulente legale sulla Data Protection