A poco più di un anno dall’applicazione del GDPR, nonostante la precisazione diffusa dal Garante in risposta al quesito posto dal Consiglio nazionale dei consulenti del lavoro in ordine all’autonoma titolarità del trattamento dei dati, il dibattito interpretativo sul binomio, ove esistente, tra titolare “autonomo” e responsabile del trattamento dati risulta più che mai attuale.
Molte categorie professionali hanno preso posizione rifiutando o comunque mal digerendo una nomina quale responsabile del trattamento ritenendo di avere autonoma titolarità sui singoli dati trattatati siano essi propri ovvero derivati.
Vediamo le differenze tra i ruoli.
Indice degli argomenti
Titolare autonomo e responsabile del trattamento dati: il contesto normativo
Come noto, oramai, il GDPR, in un’ottica generale di maggiore flessibilità, ridisegna i rapporti tra i vari soggetti coinvolti nel trattamento consentendo ai titolari di contribuire fattivamente a far vivere le norme in esso contenute.
L’articolo 4, comma 7, del GDPR definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato ed al comma 8 delinea il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Dunque, potremmo definire il titolare come colui che decide le sorti del trattamento ed il responsabile come colui che opera per conto del titolare.
Il Regolamento (UE) 679/2016, rispetto alla previgente disciplina, ha sicuramente precisato e delimitato i compiti che possono essere attribuiti dal titolare del trattamento al responsabile, individuando espressamente l’ambito delle rispettive responsabilità, le modalità nonché gli obblighi di cooperazione cui questi è tenuto esclusivamente in funzione delle attività svolte per conto del titolare (v. artt. 30, 33, par. 2 e 82 del Regolamento).
La posizione del Garante
La risposta data dal Garante in data 22/01/2019, i cui principi sono applicabili a svariate categorie, partendo proprio dalla definizione di cui all’art. 4, consente di orientarci verso l’una o l’altra scelta attraverso un’attenta valutazione dei singoli rapporti: ruolo rivestito; tipo di attività e diverse modalità di trattamento.
Occorre, dunque, distinguere la posizione del soggetto che tratta dati in ragione dell’incarico ricevuto, contenente anche le istruzioni sulle modalità, dalla diversa ipotesi nella quale questi non si limiti ad effettuare un’attività meramente esecutiva di un trattamento “per conto” del cliente, bensì eserciti un potere decisionale del tutto autonomo sulle “finalità” e sui “mezzi del trattamento”.
Nel primo caso dovrà essere inquadrato e qualificato come responsabile nel secondo caso quale titolare del trattamento.
Il trattamento dei dati effettuato dai “professionisti” ed il fatto che questi siano già soggetti a norme anche deontologiche, non attribuisce loro una diversa autonomia rispetto a quei dati che provengono dall’esterno ossia non in ragione di un incarico ma di un rapporto derivato.
Peraltro, la scelta di qualificarsi quali titolari autonomi del trattamento o co-titolari comporta una serie di obblighi ancor più stringenti rispetto alla figura del responsabile.
Garanzie e ruoli
Con riferimento alla tutela dell’interessato, infatti, la distinzione titolare autonomo e responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, sancita dall’art. 82, distinzione che diventerebbe invece decisiva con riguardo alle rispettive responsabilità.
Il titolare, come sappiamo, assume responsabilità ben specifiche ed individuate nelle norme del regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.
È dunque evidente il maggior carico di responsabilità e compiti attributi al titolare rispetto al responsabile.
È pur vero che nella prassi, assai di frequente, si assiste a maldestre o generiche “istruzioni” contenute in succinti e standardizzati contratti o altri “atti di nomina”, spesse volte predisposti dagli stessi responsabili, che certamente mal si prestano a rendere quelle garanzie richieste dalla norma e fungere da corretto paramento di adempimento.
Potrebbe infatti non essere infrequente l’ipotesi che il responsabile riesca a dimostrare di aver rispettato gli obblighi del GDPR e le istruzioni ricevute dal titolare andando così esente da responsabilità per il danno subito dall’interessato in caso di contestazione.
Definiti così i ruoli e l’inquadramento del responsabile quale soggetto che tratta dati personali per conto del titolare del trattamento, in molte ipotesi concrete tale inquadramento sembra vacillare scontrandosi con la realtà e la prassi.
Tra i vari esempi, nell’agosto 2018, in un documento del Ministero dell’Istruzione, dell’Università e della Ricerca si legge al par. 4, pag. 5, che: “In particolare nel caso in cui l’Istituzione scolastica utilizzi le funzioni del portale SIDI, il MIUR si pone come responsabile esterno del trattamento in quanto autorità pubblica che attraverso l’applicativo messo a disposizione tratta dati personali per conto del titolare del trattamento che è in via esclusiva l’istituzione scolastica”.
Conclusioni
Dunque, se da un punto di vista esegetico tale qualifica risulti più corretta, da un punto di vista pratico, talvolta, risulta difficile immaginare il concreto esercizio di quei poteri di controllo che dispone l’art. 28, par. 3, lett. h), per il quale il Regolamento assegna al titolare nei confronti del responsabile del trattamento.
Come accennato, e in generale, la flessibilità ed il principio di armonizzazione posti alla base del nuovo Regolamento EU, unitamente ai fondamentali principi di accountability e dei criteri di privacy by design e privacy by default, dovrebbero orientare gli operatori ad agire guardando il singolo caso concreto, concentrandosi più sulle finalità piuttosto che sui formalismi, preferendo il generale principio della sostanza sulla forma nella primaria ottica di protezione dei dati e prima ancora delle persone.
