In materia di applicazione del GDPR, titolare e responsabile del trattamento dei dati personali sono due ruoli ben distinti: considerare un responsabile come nuovo titolare, non porta alla risoluzione di problematiche relative a questa figura. Un titolare, nell’informativa che fornisce ai propri interessati, fornisce le finalità del trattamento dei dati personali che gli interessati gli conferiscono. Ad esempio, nel caso dei dipendenti, l’azienda intesa come datore di lavoro (titolare del trattamento) sicuramente stabilisce che tra le finalità del trattamento di tutta una serie di dati personali dei dipendenti, c’è anche la finalità di arrivare a produrre la busta paga.
Tale parte dell’informativa e tale finalità prescindono dal fatto che il trattamento dei dati dei dipendenti per la produzione della busta paga sia fatto da dipendenti autorizzati o da un commercialista esterno, dal momento che è una parte integrante del rapporto di scambio (attività lavorativa/paga) esistente tra datore di lavoro e interessati.
Indice degli argomenti
Il ruolo del titolare
È altrettanto ovvio che, nell’informativa, il titolare specificherà nelle modalità del trattamento che il trattamento stesso sarà svolto da responsabili incaricati ai sensi dell’art. 28 o, se le paghe sono fatte internamente, da autorizzati ex art. 29.
Proprio in virtù del fatto che il trattamento (art. 6 par. 1 comma b) è necessario per l’esecuzione di un contratto, questo trattamento non necessita del consenso dell’interessato, anche se il titolare utilizza i servizi di un responsabile esterno.
Le istruzioni che il titolare deve fornire ad un responsabile del trattamento valgono ovviamente solamente per la tematica del trattamento dei dati personali degli interessati e in particolare servono a specificare esattamente (anche se nella pratica non sarebbe necessario perché sono evidenti ) le finalità che il titolare ha fornito agli interessati ed in particolare quelle che il titolare “passa” al proprio responsabile e che ,quindi, devono essere garantite dai trattamenti svolti dal responsabile, nelle modalità – sempre riferite al trattamento di dati personali – definite dal titolare.
È poi altrettanto ovvio che, invece, nessuna istruzione è fornita dal titolare sulle operatività con le quali il professionista/responsabile svolgerà la propria funzione: il professionista, chiamato a svolgere una attività per conto del titolare, per definizione ha competenze specifiche e un know how per svolgere la propria attività.
Competenze e know how che quasi sicuramente il titolare non possiede e per le quali, quindi, non può essere istruito. Non a caso, secondo me, il GDPR specifica – art. 28 par. 3 comma a) – che il responsabile “tratta i dati personali soltanto su istruzione documentata del titolare del trattamento”.
Un esempio: il consulente del lavoro
Se il consulente del lavoro si configurasse come un nuovo titolare del trattamento (un destinatario a cui il titolare e per il quale deve avere il consenso dell’interessato per potergli passare i suoi dati personali) non potrebbe che presentare nella sua informativa ex art. 14 all’interessato una finalità del trattamento dei dati (produrre la busta paga) che invece è già presente in quella del datore di lavoro/titolare, dal momento che questa finalità rappresenta un obbligo contrattuale specifico del titolare/datore di lavoro.
Senza contare che mentre l’art. 6, paragrafo 1 comma b) prevede – come detto – che il datore di lavoro può trattare i dati del dipendente per produrre la busta paga anche senza il suo consenso, in quanto il trattamento è necessario per la esecuzione di un contratto (anche attraverso un responsabile ex art. 28), saremmo all’assurdo che il titolare/datore di lavoro che ha deciso di esternalizzare il servizio paghe, dovrebbe comunque chiedere il consenso dell’interessato per l’invio dei suoi dati personali ad un destinatario (il consulente del lavoro) e, contemporaneamente, il consulente del lavoro, nella sua informativa scritta ex art. 14, dovrebbe chiedere anch’egli il consenso all’interessato, per la produzione della busta paga, dal momento che non è una delle due parti in causa e quindi non si applica il comma b) del par. 1 dell’art. 6 precedente.
La difficoltà che a volte, viste le diverse dimensioni e i diversi pesi specifici delle aziende, il titolare ha nell’ottenere dal responsabile del trattamento l’approvazione della nomina ex art. 28 (penso al caso in cui, per svolgere in backup in cloud, un titolare sceglie di effettuare il backup su dei server di una grande società americana che, in coerenza con il Privacy Shield, fornisce servizi di backup in cloud) è sicuramente indubbia ma non si può certo risolvere considerando il responsabile( la società, scelta dal titolare per svolgere il servizio di backup che è necessario per garantire la sicurezza dei dati dei suoi interessati) come destinatario/titolare esterno.
Nessuna ombra nel GDPR
Pertanto, ritengo che in generale il GDPR sia chiaro in tal senso: quando un trattamento ha una finalità che è parte integrante della attività svolta dal titolare ed è quindi presentato nella informativa art. 13, esternalizzarlo può essere fatto solo nei confronti di un responsabile ex art. 28.
Quando invece il titolare – opportunamente autorizzato da una base giuridica – passa i dati personali degli interessati ad un destinatario/nuovo titolare, questi dovrà comunicare agli interessati (con informativa art. 14) quelle che sono le nuove finalità del nuovo trattamento.
Penso – infine – che una semplice cartina al tornasole dei ruoli sia data dai rapporti economici in essere.
Quando un titolare passa dei dati personali dei suoi interessati ad un responsabile del trattamento, nel rapporto contrattuale che nasce tra le parti, egli rappresenta il cliente mentre il responsabile è il fornitore: quindi è il titolare che paga il fornitore per un servizio svolto.
Quando invece un titolare passa dei dati personali degli interessati ad un destinatario/nuovo titolare, il passaggio avviene o perché il titolare è obbligato da qualche legge/regolamento, o perché nel rapporto contrattuale che viene a crearsi, il titolare rappresenta il fornitore che passa al suo i dati di interesse del cliente (il nuovo titolare) dati che gli interessa avere per le sue finalità.
Questa semplice valutazione, chi paga chi, secondo me è la stella polare per la definizione dei ruoli.
