Marzo Aprile 2019 - Privacy e "cura" dei dati in sanità

Il responsabile del trattamento

Pubblicato il Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: filippo.lore@yahoo.it

 

Introduzione

Il presente lavoro tenterà di approfondire la figura del responsabile del trattamento dei dati personali, che ha conosciuto un’importante evoluzione normativa.

In passato, ai sensi dell’art. 1 della Legge 31 dicembre 1996, n. 675, il responsabile del trattamento era “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. All’art. 8 la Legge n. 675 specificava che, se nominato, il responsabile doveva garantire, per esperienza, capacità ed affidabilità, il pieno rispetto delle vigenti disposizioni in materia, compreso il profilo della sicurezza dei dati. Potevano essere nominati più responsabili, scelti sia all’interno dell’organizzazione stessa sia all’esterno e contrattualizzati. L’ampiezza dell’autonomia decisionale concessa al responsabile era stabilita per iscritto dal titolare, al quale era affidato il diritto/dovere di esercitare, per tutta la durata del trattamento, poteri di vigilanza e di controllo. Gli incaricati del trattamento, invece, dovevano elaborare i dati personali ai quali avevano accesso, attenendosi alle istruzioni del titolare o del responsabile.

Il quadro normativo è rimasto sostanzialmente immutato con l’entrata in vigore del Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy(1)), e fino alla Legge 20 novembre 2017, n. 167.Per ragioni di adeguamento alla normativa comunitaria quest’ultima ha introdotto, al posto del comma 5 dell’art. 29 dedicato al responsabile del trattamento, il comma 4-bis: “Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

In altre parole il legislatore(2) ha tentato di aggiungere al responsabile interno del trattamento disciplinato dai primi 4 commi (che comunque era un’anomalia italiana nel panorama europeo(3)) anche la figura del responsabile esterno, così come disciplinata dal nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati, RGPD), che ha abrogato la direttiva 95/46/CE.

Il RGPD, all’art. 28, disciplina la figura del responsabile del trattamento. La figura dell’incaricato, invece, non è prevista dal nuovo Regolamento ma nemmeno esclusa. Infatti nell’art. 4 si fa riferimento, in maniera molto generica, a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

In Italia è dunque intervenuto il Decreto Legislativo 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018 e recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, tra cui l’art. 2-quaterdecies(4) molto importante ai fini della nostra analisi.

 

Il responsabile del trattamento e il suo rapporto con il titolare del trattamento

 

La nozione

Dal 25 maggio 2018 è applicabile in tutti i Paesi membri dell’Unione europea il Regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (RGPD o GDPR, ossia General Data Protection Regulation), che definisce, all’art. 4, le due figure fondamentali del sistema di protezione dei dati personali:

  • il “data controller”, o titolare del trattamento, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  • il “data processor”, o responsabile del trattamento, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

L’attività di trattamento del responsabile può essere limitata ad un compito specifico ed è lasciata alla discrezionalità di quest’ultimo la scelta di mezzi tecnici e organizzativi adeguati.

 

Il rapporto con il titolare del trattamento

Ai sensi del par. 10 dell’art. 28 RGPD,(5) fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento determina le finalità e i mezzi dello stesso, in violazione al regolamento, è considerato allora titolare del trattamento in questione. Il responsabile del trattamento, infatti, può determinare soltanto i mezzi del trattamento.

Rispetto al passato, però, questa figura riveste ulteriore importanza e deve avere determinate competenze, come si deduce dall’art. 28 del RPGD. Esso stabilisce che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino “garanzie sufficienti” per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. Il Considerando 81 chiarisce che queste “garanzie” devono essere “sufficienti” in termini di conoscenza specialistica, affidabilità e risorse.

L’affidabilità può essere valutata in relazione alle mansioni e all’esperienza ma soprattutto ad aspetti etico-deontologici (ad es. l’insussistenza di condanne penali). Per risorse si intendono risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalla normativa di riferimento. Le competenze in ambito privacy, infine, devono essere comprovate, dovendo il responsabile confrontarsi, all’occorrenza, con il Data Protection Officer (DPO) del titolare del trattamento(6).

Il responsabile del trattamento, dunque, riceve istruzioni dal titolare del trattamento ed ha una certa autonomia; tuttavia, ai sensi dell’art. 82 RGPD, l’interessato che abbia subìto un danno materiale o immateriale causato da una violazione del RGPD, può ottenere il diritto al risarcimento del danno da parte del titolare o del responsabile del trattamento. Nel sistema precedente la sanzione amministrativa veniva invece irrogata soltanto al titolare.

Rispetto al Codice italiano, il RGPD lascia sostanzialmente invariate le caratteristiche soggettive e le responsabilità del responsabile del trattamento. Il titolare ha il compito specifico di valutare il rischio del trattamento di dati personali effettuato mediante il responsabile del trattamento, intervenendo ove ne ricorresse il bisogno.

In definitiva, il RGPD, partendo dalla direttiva 95/46/CE, ha rafforzato la figura del responsabile del trattamento, delineandone meglio il ruolo, e ha lasciato intendere che il responsabile del trattamento ex art. 28 RGPD sia necessariamente “esterno” all’organizzazione del titolare, fermo restando che i responsabili sono tenuti a tenere un proprio registro dei trattamenti, a nominare eventualmente un DPO, ecc. Non a caso il RGPD ha previsto uno strumento negoziale per l’accordo con il titolare, e gravi sanzioni in caso di violazioni dell’art. 28. All’interno dell’organizzazione si parla di delegati o designati.

 

L’atto di designazione del responsabile del trattamento

Quello che il RGPD fissa più nel dettaglio sono invece le caratteristiche dell’atto con cui il titolare designa il responsabile del trattamento attribuendogli specifici compiti. Tale atto, infatti, ai sensi dell’art. 28, deve essere un contratto (o altro atto giuridico conforme al diritto nazionale) che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la sua natura e finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Per ciò che riguarda contratti o altri atti giuridici già “in essere”, occorre verificare che siano conformi all’art. 28, paragrafo 3 e se necessario apportare le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili. Le vecchie lettere di nomina a responsabile del trattamento devono essere dunque adeguate con nuove clausole contrattuali in base al RGPD, richiedendo la loro accettazione.

Il nuovo impianto del RGDP affida al responsabile del trattamento un ruolo più incisivo e la sua nomina è obbligatoria al fine di dimostrare l’accountability del titolare del trattamento. Mediante l’atto di designazione (in forma scritta) il titolare del trattamento delega al responsabile, attraverso un addendum contrattuale (qualora la collaborazione tra i due soggetti avvenga in forza di accordo contrattuale) la gestione concreta del trattamento e il responsabile non può opporsi o rifiutare. Il contratto o altro atto giuridico deve prevedere, in particolare, che il responsabile del trattamento debba:

  1. trattare i dati personali sulla base di un’istruzione documentata del titolare del trattamento;
  2. garantire che gli autorizzati al trattamento abbiano un adeguato obbligo legale di riservatezza;
  3. rispettare le condizioni per eventuali nomine di sub-responsabili;
  4. assistere il titolare del trattamento nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato e nello svolgimento della conduzione della valutazione d’impatto (DPIA);
  5. cancellare o restituire i dati personali una volta terminato il rapporto con il titolare con riguardo al trattamento salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati;
  6. mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 RGPD e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato;
  7. informare immediatamente il titolare del trattamento ove ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione dei dati(7);
  8. informare il titolare del trattamento immediatamente in caso di data breach (violazione dei dati) descrivendo la violazione per consentire al titolare di notificarla al Garante e ove necessario agli interessati;
  9. se non è stabilito nell’UE, designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27 par. 3 RGPD (diversamente da quanto prevedeva l’art. 5, comma 2, del Codice);
  10. cooperare con il titolare;
  11. cooperare con l’autorità di controllo ai sensi dell’art. 157 del D. Lgs. n. 101/2018, che dà facoltà al Garante di richiedere al responsabile e al suo rappresentante di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati;
  12. assistere il titolare del trattamento nella consultazione preventiva dell’autorità di controllo quando ciò si rende necessario conseguentemente alla valutazione di impatto per la presenza di un rischio residuale elevato.

Il Considerando 74 afferma al riguardo che è opportuno stabilire la responsabilità generale del titolareper qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il RGPD, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

 

Responsabile, designato o autorizzato?

L’art. 2-quaterdecies del Decreto Legislativo n. 101 è rubricato “Attribuzione di funzioni e compiti a soggetti designati”(8) e stabilisce che:

  1. il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità;
  2. il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Questa norma, che ha visto nascere un dibattito e numerose interpretazioni, “prevede il potere di Titolare e Responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati”(9).

Autorevole dottrina considera l’art. 2-quaterdecies una specificazione non richiesta della normativa comunitaria. Altri studiosi controbattono questa tesi affermando invece che lo scopo del legislatore italiano era proprio quello di escludere da tale delega il soggetto dotato di personalità giuridica, restringendo l’ambito alle sole persone fisiche. Sarebbe dunque scomparsa la figura del responsabile interno in favore della figura del “designato” al trattamento, con un livello diverso di “delega” rispetto all’autorizzato.

In realtà, risulta difficile stabilire con certezza il confine tra le due figure, dato che l’autorizzato è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali (perciò è difficile che sia un esterno, specie nella pubblica amministrazione) ma potrebbe operare anche alle dipendenze del responsabile (esterno) del trattamento.

Ad ogni modo è pacifico che la persona delegata (o designata o autorizzata) debba essere appositamente istruita e debba far parte dell’organizzazione o del titolare o del responsabile (socio, lavoratore a tempo indeterminato o determinato, collaboratore, ecc.), altrimenti saremmo di fronte ad un responsabile esterno. La scelta della forma e della modalità è rimessa al titolare oppure al responsabile del trattamento. Può trattarsi di atto bilaterale nuovo, addendum al contratto, nomina, rinvio al contratto di lavoro, ecc; in ogni caso, va specificato l’oggetto della delega (o designazione o autorizzazione).

Si tenga conto che comunque il Garante ha confermato che “le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di ‘responsabilizzazione’ di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”(10).

In caso di sub-affidamento di parte del trattamento dei dati personali a persone fisiche esterne all’organizzazione del titolare è necessario fornire istruzioni a tali soggetti (come si faceva prima con gli “incaricati”), qualora svolgano operativamente attività sotto l’autorità del responsabile del trattamento. Ove invece tali soggetti operino all’esterno ed è impossibile un effettivo controllo, sarebbe meglio parlare di “sub-responsabili”.

 

I sub-responsabili

Una importante novità del RGDP è infatti la possibilità per il responsabile del trattamento di nominare dei sub-responsabili del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare(11). Ai sensi dell’art. 28 par. 2 RGPD il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi.

Il par. 4 dello stesso art. 28 stabilisce invece che, quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività per conto del titolare del trattamento, ciò avviene nel rispetto degli stessi obblighi contrattuali che legano il titolare e il responsabile primario. Quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile, ai sensi dell’art. 82 RGPD.

È possibile comunque che il responsabile del trattamento preveda a livello contrattuale il fatto che il titolare del trattamento si possa opporre all’aggiunta di un sub-responsabile soltanto per fondati motivi concernenti la sicurezza del trattamento (per esempio qualora il sub-responsabile non offra garanzie sufficienti a tal proposito).

 

Note:

  1. F. Modafferi, Lezioni di diritto alla protezione dei dati personali, alla riservatezza e all’identità personale, Lulu Editore, 2015, p. 106.
  2. L. Califano, Privacy: affermazione e pratica di un diritto fondamentale, Collana Cospel, 2016, p. 43.
  3. Si veda anche il parere 1/2010 del Gruppo articolo 29.
  4. A. Ciccia Messina, Il Codice privacy in Italia: come cambia dopo il D. Lgs n.101/2018, Federprivacy, 2017, p. 17.
  5. Considerando 81 al Regolamento UE 2016/679: “Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali”.
  6. M. Iaselli, Manuale operativo del DPO, Maggioli Editore, 2018, p. 140.
  7. Il RGPD affida al responsabile del trattamento il dovere di controllare che le procedure aziendali siano conformi alla normativa europea, dunque potrebbe incorrere in responsabilità (in solido con il titolare) ad es. ove agisca in contrasto alle istruzioni del titolare, non si presti a ispezioni o verifiche, non designi il DPO qualora sia obbligato, designi un sub-responsabile che non offra le “garanzie sufficienti” oppure senza autorizzazione del titolare.
  8. Si consulti art.2-quaterdecies del Codice in materia di protezione dati personali, così come modificato dal D.Lgs n.101/2018.
  9. Relazione illustrativa al decreto richiamato.
  10. A tal riguardo, IL Garante nei mesi scorsi ha organizzato un ciclo di eventi finalizzati in diverse zone d’Italia al fine di sensibilizzare alla tematica privacy.
  11. G. Russo, M. Polini, Manuale di diritto alla protezione dei dati personali, Maggioli Editore, 2017, p. 127.