3 maggio 2011
Responsabile esterno o autonomo titolare del trattamento?
A volte i miei clienti mi chiedono se quei soggetti esterni all’azienda titolare del trattamento ai quali comunicano dati personali per l’esecuzione di particolari trattamenti non possano essere considerati dei “titolari del trattamento” autonomi.
In effetti, si tratta di una questione ampiamente dibattuta nell’applicazione pratica del D.Lgs. 196/03 sulla tutela della privacy. Mi riferisco in particolare a soggetti terzi come il commercialista, il consulente del lavoro, il medico competente, l’avvocato, ma anche a persone giuridiche come gli istituti di credito, le assicurazioni, ecc. In pratica si discute se tali soggetti siano da considerare “autonomi titolari del trattamento”, ovvero se debbano essere nominati “responsabili del trattamento esterni” ai sensi dell’art. 29 del Codice.
La distinzione ha importanti conseguenze, perché, mentre i “responsabili” operano seguendo le istruzioni impartitegli dall’azienda titolare, in particolare per quanto attiene alle misure di sicurezza per il trattamento dei dati personali loro affidati, il “titolare” esterno ha piena autonomia nella gestione del trattamento dei dati (nomina i propri incaricati del trattamento, decide l’hardware e il software da utilizzare per i trattamento dei dati, ha autonomia di spesa per i sistemi di sicurezza da adottare, eccetera). In sostanza il titolare autonomo non sottostà alle direttive e al potere di controllo del “titolare del trattamento”, ma, al più, deve rilasciare una dichiarazione che attesti di aver messo in atto quanto previsto dal Codice della privacy (in particolare per quanto riguarda le misure di sicurezza) e che i dati personali comunicategli dal titolare saranno trattati solo per il tempo necessario e per il fine per il quale gli sono stati comunicati.
Anche i risvolti pratici sono importanti, perché nominare questi soggetti esterni “responsabili del trattamento” a volte potrebbe essere improponibile e ingestibile, sia per il titolare del trattamento sia per il professionista o per la società esterna. Mi domando che cosa accadrebbe a un commercialista se fosse nominato “responsabile esterno del trattamento” da tutti i suoi clienti. Ogni cliente (ovvero il “titolare del trattamento”) dopo averlo nominato dovrebbe definire le attività e le modalità di trattamento e, cosa più importante, dovrebbe verificare periodicamente che il professionista rispetti le istruzioni impartite anche tramite “verifiche periodiche”(art. 29, comma 5, D.Lgs. 196/03).
Va però anche considerato, che il commercialista, il medico del lavoro, la banca, e gli altri soggetti esterni all’impresa in realtà sono titolari del trattamento dei dati dei loro clienti (cioè le imprese), ma non sono propriamente “titolari” del trattamento dei dati dei clienti, dei fornitori e dei dipendenti delle imprese loro clienti. Questi dati sono loro affidati dai “titolari” esclusivamente per compiere un determinato trattamento loro delegato (ad esempio la tenuta della contabilità), ma ciò non fa venir meno la “titolarità” dell’impresa relativamente a questi dati. E allora?
Certamente, dove sia possibile, ogni volta che un soggetto terzo deve trattare dati per conto di un titolare in forza di un contratto sarebbe più pratico indicare nelle informative che questo soggetto è un “titolare autonomo” del trattamento, e farsi rilasciare dal soggetto esterno una dichiarazione che i dati affidatigli saranno trattati secondo quanto previsto dal D.Lgs. 196/03 ed esclusivamente per le finalità per le quali gli sono stati affidati/comunicati, senza possibilità di diffusione, mentre la comunicazione potrà essere fatta solo in forza di disposizioni di legge o di regolamento (come ad esempio nel caso del consulente del lavoro che fa l’assunzione, o del commercialista che deve comunicare i dati all’agenzia delle entrate, eccetera).
Però, qualora ciò non sia possibile, il titolare dovrà nominare i soggetti terzi “responsabili esterni” e dovrà impartire loro precise istruzioni per il trattamento dei dati loro affidati e vigilare sul loro operato.
Si tratta quindi di una possibilità di scelta lasciata all’impresa titolare del trattamento dei dati (del resto, ai sensi dell’art. 29 del Codice la nomina di un “responsabile” è sempre facoltativa) e, a conferma di questa possibilità di scelta del titolare, il Garante per la privacy nella sua “Guida operativa per redigere il Documento programmatico sulla sicurezza” per i “trattamenti affidati all’esterno” (punto 19.7 del Disciplinare Tecnico allegato al D.Lgs. 196/03) dà questa indicazione: “Soggetto esterno: indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento)”.
Scritto il 6-5-2011 alle ore 15:09
Molto bene. Sintetico ed efficace. Ma cosa succede in caso di infrazioni commesse dal titolare autonomo? Risponde sempre anche il titolare secondo i principi sulla “responsabilità oggettiva”?
Scritto il 6-5-2011 alle ore 16:29
Non credo che si possa stabilire a priori una responsabilità soldidale dell’impresa titolare del trattamento e del professionista “titolare autonomo” esterno. La questione va valutata caso per caso e sarà il giudice, secondo il suo prudente apprezzamento, a decidere di chi in concreto è la responsabiltà.
A mio avviso, se il “titolare” si è fatto rlasciare dal terzo titolare autonomo una dichiarazione di osservanza del Codice della privacy (in particolare per quanto riguarda gli aspetti legati alla sicurezza del trattamento dei dati)relativamente ai dati che gli sono stati affidati per uno specifico trattamento (ad es. l’elaborazione delle paghe)e il titolare autonomo esterno ha dichiarato il falso, la responsabilità è solo di quest’ultimo. Un titolare, infatti, non può “interferire” nell’organizzazione interna di un altro titolare per quanto riguarda i trattamenti di dati svolti da quest’ultimo. Può solo cautelarsi con una specifica lettera di raccomandazione di fare sempre un trattamento corretto, sicuro e pertinente e può ottenere una lettera di impegno formale al rispetto del D.Lgs. 196/03 da parte del soggetto esterno autonomo titolare.
Diverso, a mio parere, è il caso del “responsabile esterno” nominato dall’impresa titolare. In questo caso infatti, ai sensi dell’art. 29 del Codice il titolare deve, non solo fornire precise istruzioni per il trattamento dei dati affidati al responsabile, ma deve anche vigilare (nella maniera più opportuna sul suo operato) e, nel caso di danni procurati ai soggetti ai quali si riferiscono i dati affidati al responsabile esterno, il titolare sarà certamente considerato corresponsabile dal giudice, a meno che non riesca a provare (cosa difficilissima) di avere fatto tutto il possibile per evitare il danno verificatosi. Ed ecco per quale motivo io suggerivo, là dove possibile,di nominare il soggetto esterno “responsabile”, piuttosto che considerarlo un “titolare autonomo”.
Scritto il 14-11-2011 alle ore 20:45
Avv.Polacchini buonasera.
Vorrei chiedere un suo parere su una questione abbastanza complessa che per ragioni di tempo e spazio sono costretto a esemplificare.
In una struttura pubblica (es.: una sala convegni, bibblioteca, sala ricreativa, ecc.) di proprietà e gestita da un Ente Pubblico (es.: Regione, Provincia,Comune o altro Ente), al fine di assicurare la sicurezza agli utenti e tutelare il patrimonio (in questo caso di utilità pubblica)viene installato un impianto di videosorveglianza.
La visione e il materiale dei dati sensibili registrati, sono gestiti direttamente dall’Ente Pubblico tramite una apposita delega ad un funzionario dello stesso Ente.
Visto che la visione e la registrazione dell’impianto di videosorveglianza interagisce con l’attività lavorativa di alcuni impiegati pubblici (custodi, uscieri,impiegati,manutentori, ecc.) essendo presenti le R.S.A., la direzione ha inteso stipulare un apposito accordo ai sensi dell’art. 4 della L. 300/70.
All’interno e all’esterno della struttura pubblica esistono degli spazi come Bar, guardaroba,parcheggi,ecc, i quali sono gestiti a loro volta, con apposito contratto di appalto, da singole imprese private con proprio personale dipendente.
————————————————
LE CHIEDO:
a) Ai fini del trattamento dei dati, è giusto che l’Ente pubblico controlli anche l’attività dei lavoratori delle singole imprese private ?
Se SI, quali accorgimenti devono essere messe in atto ?
b) Le imprese private, che utilizzano il proprio personale dipendente nella gestione dei servizi e degli spazi in seno alla struttura pubblica e che non hanno in seno le R.A.S., debbono chiedere singolarmente l’autorizzazione alla DPL competente pur operando in una struttura pubblica ?
c) Necessita una netta distinsione nel trattamento dati (monitor e impianto di registrazione) tra l’impianto della struttura pubblica e i vari impianti di pertinenza delle imprese private che gestiscono i vari servizi ?
d) Se tale distinzione non fosse tecnicamente possibile, le imprese private potrebbero delegare il trattamento dei dati, con apposita dichiarazione, controfirmata dai propri dipendenti, all’Ente Pubblico propietario della struttura ?
————————————————-
Rendedomi perfettamente conto della complessità del caso da me posto, le chiedo comunque la Sua autorevole opinione in quanto ci troviamo difronte, da una parte, ad esigenze di utilità pubblica e, dall’altra, ad una esigenza di tutelare dei diritti, previsti dallo Statuto dei Lavoratori, ai singoli dipendenti coinvolti(publici e privati).
La ringrazio e Le auguro una buona serata e buon lavoro.
F.TO
Luigi
Scritto il 8-1-2012 alle ore 20:35
gentile avvocato, le scrivo perche’ nell’estate scorsa ho installato una telecamera fai da te, come le avevo precedentemente scritto,per verificare eventuali ammanchi dalla cassa. ho scoperto che ( ho una piccola pasticceria con due dipendenti in forza da 5 anni) una delle due signore sottraeva denaro dalla cassa e portava via anche della merce. le ho inviato la lettera di licenziamento x giusta causa essendo venuto meno il vincolo fiduciario. prima di procedere alla denuncia la signora vuole un incontro perche’ sostiene che tali prove non possono essere usate contro di lei in quanto non ho fatto denuncia delle telecamere. Ho chiesto al mio avvocato che sostiene che in seguito ad una recente sentenza della cassazione posso invece usarle contro la dipendente, ma nel tribunale della mia citta’ i giudici di norma non accettano queste prove ma anzi rischio personalmente una denuncia per non aver dichiarato la telecamera. cosa posso fare? grazie
Scritto il 9-1-2012 alle ore 14:53
Buongiorno Stefania.
Le ho dato una risposta al suo quesito nel thread che riguarda la videosorveglianza in ambiente di lavoro, cioè qui: http://marcellopolacchini.postilla.it/2010/05/03/nuovo-provvedimento-sulla-videosorveglianza-aspetti-particolari-legati-ai-rapporti-di-lavoro/
Scritto il 11-4-2014 alle ore 13:02
Gentile Dottore,
il notaio dovrebbe essere nominato responsabile del trattamento?
La ringrazio.
Barbara
Scritto il 15-3-2017 alle ore 23:53
Salve, interessante thread. Avrei una domanda . Se una società raccoglie i dati e rende l’informativa agli interessati dicendo che questi dati possono essere ceduti o comunicati alle società del gruppo per le finalità per cui sono raccolti questi dati, la società del gruppo in caso di cessione diventa nuovo titolare del trattamento ?
La ringrazio
Scritto il 1-4-2018 alle ore 05:45
LA NUOVA FIGURA DEL RESPONSABILE DEL TRATTAMENTO SECONDO IL GDPR
buongiorno, mi sorge un dubbio “pratico” relativo alla figura del Responsabile del Trattamento prevista dal nuovo Regolamento europeo.
In particolare non ho ben chiaro il da farsi in relazione alla predisposizione del Registro delle attività di trattamento da parte dell’RDT.
Il consulente fiscale che per conto del Titolare ne gestisce la contabilità o il consulente del lavoro che per conto del Titolare predispone le buste paga dei dipendenti, secondo quanto previsto dalla nuova normativa, sono da nominare Responsabili del trattamento. L’art. 30 par. 2 prevede che ogni RDT debba tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.
E’ giusto, alla luce delle precedenti considerazioni, desumere che un consulente del lavoro o fiscale debba redigere tanti Registri delle attività di trattamento per ciascun cliente (Titolare) che gli fornisca l’incarico? A mio parere ciò richiederebbe una enorme mole di lavoro per i consulenti costretti a redigere decine se non centinaia di Registri per tutti i loro clienti.
Sarebbe corretto redigere un unico Registro “cumulativo” in cui descrivere le attività di trattamento, attinenti l’attività di consulenza che, sostanzialmente, è sempre uguale per tutti i clienti?
Potrebbe, tale Registro “cumulativo” contenere anche i riferimenti relativi alle attività di trattamento svolte dal consulente per la gestione della propria attività (ad es. attività di trattamento relative alla gestione del proprio personale e dei propri fornitori) così da concentrare in un unico documento (Registro) tutte le attività svolte?