Titolari o Responsabili?
GDPR : Professionisti al bivio
Nel corso del primo anno di applicazione del Regolamento l’attività interpretativa sull’art.28 è stata rigogliosa. Ripercorriamo le tappe e facciamo il punto della situazione per le più importanti categorie professionali (Consulenti del Lavoro, Commercialisti, Avvocati, Medici del lavoro, disposti in ordine crescente di difficoltà applicativa).
Prima di addentrarsi nella tematica, è opportuno ricordare alcune imprescindibili definizioni che il GDPR ci offre per orientarci in materia.
Ai sensi dell’art. 4 punto 7, il titolare del trattamento è “la persona fisica o giuridica […] che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.
Il responsabile, invece, ai sensi dell’art. 4 punto 8 è “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento”.
Consulenti del Lavoro
Con la circolare n. 1150 del
23 luglio 2018, il Consiglio Nazionale dei Consulenti del Lavoro, richiamando l’articolo
1 della Legge 11 Gennaio 1979, n. 12 (Norme per l'ordinamento della professione
di consulente del lavoro), asseriva che: “non
possono esservi dubbi sul fatto che il Consulente del lavoro nelle attività di trattamento
dei dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che
assumere la qualifica di Titolare del trattamento. È possibile ritenere
configurabile, al più, una fattispecie di co-titolarità”.
Con tale affermazione il
Consiglio sosteneva la possibilità di respingere le nomine a responsabili in
quanto quello del responsabile esterno “È
un ruolo facoltativo, che il Consulente del lavoro può assumere previo
nuovo e specifico incarico professionale”.
L’interpretazione data
all’interno della citata circolare ha aperto un dibattito fra i professionisti,
molti dei quali hanno sottoposto la questione al Garante per la protezione dei
dati personali. Lo stesso Consiglio Nazionale dei Consulenti del Lavoro, con la
lettera del 24 settembre 2018, chiedeva chiarimenti all’Autorità, con
particolare riferimento alle qualificazioni di “titolare” e di “responsabile”
del trattamento, dei relativi compiti e responsabilità.
Il 22 gennaio 2019, pertanto, giungeva la precisazione del Garante, il quale, rispondendo ai numerosi quesiti ricevuti, dava una delle poche interpretazioni ufficiali a nostra disposizione sul tema: i Consulenti sono responsabili quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto; viceversa, sono titolari quando, operando in piena autonomia ed indipendenza, gestiscono i dati dei propri dipendenti di studio o dei clienti persone fisiche (es. liberi professionisti), sostituendosi in toto nel compimento degli adempimenti fiscali e previdenziali. Nel primo caso, la legittimità dei trattamenti operati dal consulente si basa sull’affidamento dell’incarico professionale e sul contratto ai sensi dell’art.28 del Regolamento. Il Garante riconosce al professionista responsabile un apprezzabile margine di autonomia organizzativa, con riguardo all’individuazione e conseguente predisposizione di adeguate misure di sicurezza a tutela dei dati trattati.
Commercialisti
Per quanto riguarda il
rapporto cliente – commercialista, non abbiamo interpretazioni ufficiali del
Garante ma possiamo affidarci a quanto emerso durante il 2° Forum Nazionale dei
Commercialisti ed Esperti Contabili organizzato da ItaliaOggi e tenutosi a
Milano il 24-25-26 settembre 2018. Nel corso dell’ultima giornata, la dott.ssa
Giovanna Bianchi Clerici, componente dell’Autorità Garante, ha delineato due
possibilità: “il professionista contabile
è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è
responsabile esterno se il cliente è una persona giuridica”. Questa linea
interpretativa risale al parere dei Garanti europei (WP 29) n. 1/2010 del
16/02/2010, che mantiene la sua validità (trasponendo le differenti
nomenclature della vecchia direttiva).
Portando come esempio proprio la figura del “contabile”, il WP 29 si era espresso sottolineando che “La qualifica del contabile può variare a seconda del contesto. Quando fornisce servizi ai cittadini e ai piccoli imprenditori sulla base di istruzioni molto generali ("Mi prepari la dichiarazione dei redditi"), il contabile – come gli avvocati, che agiscono in condizioni analoghe e per ragioni comparabili – sarà un responsabile del trattamento(leggi titolare, n.d.r.).
Tuttavia, se lavora per una società, ed è vincolato alle dettagliate istruzioni del contabile interno, per effettuare, ad esempio un audit dettagliato, sarà, se non un dipendente, un incaricato del trattamento (leggi responsabile, n.d.r.), dato che le istruzioni saranno molto chiare e il suo potere discrezionale di conseguenza limitato. Interviene tuttavia una riserva molto importante: quando ritiene di avere scoperto un'irregolarità che è obbligato a segnalare, allora, in virtù degli obblighi professionali cui è tenuto, agisce in modo indipendente in qualità di responsabile (leggi titolare, n.d.r.) del trattamento”.
Gli stessi Garanti europei
avevano specificato che, sebbene vi fosse stata in passato una tendenza a far
coincidere in generale l’esternalizzazione con la funzione del responsabile del
trattamento, oggi le situazioni e le valutazioni sono spesso molto più
complesse. La figura del commercialista si sostanzia in un ruolo multiforme
tale da implicare, necessariamente, flessibilità gestionale e conseguenti
accorgimenti nei rapporti con la clientela.
Avvocati
Anche in questo caso non abbiamo pareri del Garante sulla figura in oggetto. La Commissione privacy del CNF (Consiglio Nazionale Forense), tuttavia, ha predisposto un fascicolo (“Il GDPR e l’avvocato”) per favorire l’adeguamento degli studi e dei professionisti legali al GDPR.
In sintesi, secondo il CNF, “l’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto”.
La contitolarità, “si reputa che nel mondo forense […] possa ravvisarsi in tutti i casi in cui vi sia un mandato a più colleghi che lavorano insieme ed in collaborazione determinando insieme le finalità e le modalità del trattamento”.
Riguardo al ruolo dell’avv.to responsabile esterno, “si reputa che l’avvocato mero domiciliatario, poiché tratta dati personali per conto del dominus mandatario (titolare del trattamento), sia da qualificarsi responsabile ai sensi dell’art. 4 par. 8 del GDPR”. Ancora, “l’avvocato può essere responsabile del trattamento allorquando riceva una domiciliazione da parte di un Collega”.
Il CNF non chiarisce ulteriormente
il ruolo dell’avv.to come responsabile ma si limita a dire: “L’Avvocato può anche essere responsabile del
trattamento dei dati personali nel momento in cui - ad esempio - gli venga
richiesta una consulenza da un soggetto che è titolare del trattamento”.
Completando quanto riportato,
si può concludere che l’avv.to può essere titolare (o contitolare) in quanto
professionista che ha ricevuto mandato per la difesa in giudizio: in questo
caso egli non può configurarsi come responsabile del trattamento perché
altrimenti non potrebbe agire in autonomia. Altresì, l’avv.to può figurare anche
come responsabile esterno (oltre ai casi in cui sia mero domiciliatario), quando
svolge il ruolo di consulente legale d’impresa (es. l’avvocato incaricato di
elaborare contratti tra cliente e persone fisiche clienti del cliente o
dipendenti del cliente).
Medico del lavoro
La figura del medico competente oscilla più delle altre tra il ruolo di titolare e la posizione di responsabile.
Ai sensi del D.Lgs.626/94 e s.m.i., il datore di lavoro è tenuto a provvedere, nei casi previsti dalla legge, alla nomina di un medico competente, al fine di adempiere agli obblighi in materia di igiene e sicurezza sui luoghi di lavoro.
Ciò presume pertanto un
rapporto di gerarchia tra le due figure: è il datore di lavoro (e non il
lavoratore) che sceglie il medico competente, che gli affida l'incarico, che lo
autorizza a trattare i dati dei dipendenti e che lo paga affinché effettui le
prestazioni contrattualmente prestabilite. Una volta nominato il medico
competente, nasce quindi il problema di capire a che titolo il medico è
autorizzato a trattare i dati del personale dipendente.
Ad una prima disamina della
questione, risulta una prevalente predisposizione del legislatore ad imputare
doveri e responsabilità in materia di igiene e sicurezza dei luoghi di lavoro
in capo al datore di lavoro. Al medico competente risulta conseguentemente
affidato il ruolo secondario di collaboratore professionale, con il compito di
svolgere attività riservate alla propria categoria per conto del titolare.
Sembrerebbe pertanto banale la
qualificazione del medico competente a responsabile esterno e la conseguente
nomina per iscritto dello stesso ai sensi degli articoli 28 e 29 del GDPR.
Tuttavia, un diverso filone
dottrinale individua il medico competente quale titolare autonomo, in quanto
opera con un profilo di tutela sui dati personali basato sulla riservatezza e
sul rispetto delle prescrizioni legislative che gli vengono attribuite a prescindere dall’esistenza del Regolamento.
Seppure l’incarico provenga dall’esterno, l’attività svolta in questa
fattispecie dal professionista non sarebbe etero-determinata. A sostenere
questa tesi anche l’ICO (Information Commissioner’s Office, l’Autorità Garante
Inglese) che individua come possibile la soluzione del medico competente titolare.
Lo scenario appare sicuramente
complesso, i ruoli soggettivi derivanti dalla normativa comunitaria
costituiscono un doppio binario e scegliere da quale parte stare non può
ridursi ad una breve sentenza: la soluzione deve essere frutto di valutazioni
approfondite e ben contestualizzate. L’accountability che permea tutto il Regolamento,
anche sotto questo profilo, risulta determinante.
Concludo proponendo un
estratto sintetico ma molto esplicativo sulla figura del responsabile (processor), dalla guida al GDPR
dell’ICO.
How does this apply in practice?
The definition of a processor can be difficult to apply in the complexity of modern business relationships. In practice, there is a scale of responsibility in how organizations work together to process personal data. The key is to determine each party’s degree of independence in determining how and in what manner the data is processed as well as the degree of control over it.
.
Articolo di
Dott. Federico Corti
