Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Autonomi titolari o responsabili del trattamento dei dati: i chiarimenti del Garante sui ruoli

I ruoli da assegnare nel complesso procedimento di adeguamento al GDPR ha richiesto l’intervento del Garante della privacy che ha fatto luce sulla considerazione da attribuire agli autonomi, su cui aleggia il dubbio della titolarità o responsabilità del trattamento. Con il rischio di sanzioni per chi sbaglia

05 Mar 2019

Nicola Manzi

Consulente Direzionale, Compliance, DPO


Il ruolo dei soggetti terzi nel trattamento dei dati va definito secondo le disposizioni del GDPR e per aiutare le aziende, è intervenuto anche il Garante della privacy che ha fatto chiarezza sulla complessa normativa. Devono essere definiti titolari o responsabili del trattamento?

Al riguardo, assume una posizione rilevante anche il concetto di responsabilizzazione, onere di cui il Titolare del trattamento dei dati deve farsi carico per evitare sanzioni. La procedura è complessa e richiede per essere attuata al meglio, tra le altre cose, anche la costituzione di un vero sistema con il coinvolgimento di più soggetti. Il rischio altrimenti è quello di incappare in maxi multe, che non risparmiano nemmeno i Big.

Le sanzioni al colosso H3G

La notizia della sanzione di 600.000 euro a un colosso delle telecomunicazioni per le attività di telemarketing indesiderato, circolava nella rete e negli ambienti degli operatori della privacy già da tempo. Il provvedimento n. 493 del 29 novembre 2018, inquadrato (erroneamente) come primo intervento del Garante alla luce del nuovo Regolamento richiama, invero, violazioni intervenute prima dell’entrata in vigore del GDPR ma porta con sé spunti di riflessione importanti soprattutto alla luce del nuovo complesso normativo. Il trattamento illecito contestato ad H3G, infatti, secondo l’Autorità è derivato principalmente da due violazioni:

  • la mancata verifica della liceità del trattamento nei confronti degli interessati (espressione del consenso);
  • la sistematica e prolungata comunicazione illecita di dati della clientela a terzi.

Senza entrare nel merito del provvedimento (soprattutto per quanto riguarda gli aspetti rilevanti connessi alla violazione del punto uno), vorrei concentrarmi, sul punto numero due e su alcune caratteristiche che trovo particolarmente interessanti anche alla luce delle implicazioni pratiche che portano con sé. La configurazione dell’illecita comunicazione di cui al punto due, infatti, attiene a un profilo, per così dire, organizzativo.

La natura dell’illecito

Leggiamo dalle motivazioni dell’autorità, l’illecito al punto due è conseguenza dell’aver considerato come titolari autonomi dei soggetti terzi (i partner commerciali dell’azienda) nonostante difettassero delle caratteristiche peculiari che la legge detta in relazione alla figura del Titolare:

  • non decidevano (né potevano modificare) le finalità del trattamento dei dati personali dei clienti;
  • provvedevano a gestire nell’interesse della Società (e secondo le direttive loro impartite) la commercializzazione su tutto il territorio nazionale dei servizi;
  • ricevevano istruzioni dettagliate e vincolanti da parte dell’Azienda.

Designare correttamente questi soggetti terzi, quindi, come Responsabili del trattamento e informare gli interessati avrebbe, di fatto, giustificato l’accesso dei partner commerciali di H3G alle informazioni personali dei clienti e scongiurato parte della sanzione. Il provvedimento del garante con la sua attenzione ai ruoli, alle responsabilità e alla responsabilizzazione, diventa oggi ancora più cogente con l’avvento del nuovo Regolamento.

I dubbi interpretativi ad alcune disposizioni, ad esempio quelle relative all’art 28, solo di recente hanno trovato riscontro del Garante e fornito una chiave di lettura soddisfacente. La pubblicazione della risposta in merito a “un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016″ chiarisce finalmente il dilemma Titolare/responsabile connesso ai rapporti tra aziende e professionisti (nella fattispecie i consulenti del lavoro) stabilendo che“i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche e viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori”.

La responsabilizzazione da parte del Titolare

L’onere del Titolare di costruire e comprovare nelle scelte (cosiddetta responsabilizzazione) un sistema tecnico ed organizzativo adeguato in relazione al rischio dei trattamenti passa, quindi, necessariamente e con più vigore oggi dalla regolamentazione (scritta) e dal controllo dei rapporti tra gli attori della protezione dei dati. Costruire la conformità è, sì un processo di tipo “Top down”, che parte, cioè, dal management e, attraverso una significativa espressione di leadership, si propaga fino alla periferia; Ciononostante, per diventare efficace ha bisogno del coinvolgimento consapevole di tutti i soggetti che intervengono nel ciclo di gestione dei dati personali. Soggetti sui quali il Titolare del trattamento se vuole evitare le rilevanti sanzioni previste è sempre chiamato a rispondere e per i quali ha il dovere e l’onere di esercitare molteplici forme di controllo:

  • preventive alla redazione dell’atto o contratto previsto dalla norma (ad esempio verificare che il fornitore che intende designare quale responsabile abbia un’organizzazione tale da poter assicurare un sistema adeguato di protezione dei dati)
  • successive alla redazione dell’atto o contratto previsto dalla norma (ad esempio la pianificazione delle attività cicliche di audit presso i fornitori).

Soltanto così potrà dimostrare di non aver avuto responsabilità in un’eventuale violazione.

I quattro step per comprovare la responsabilizzazione

Si raccomanda, pertanto, per assicurare la compliance della propria organizzazione, non soltanto la redazione documentale di informative, registri, policy per i designati interni e istruzioni per i responsabili. Comprovare la responsabilizzazione, infatti, è una procedura complessa che prevede quattro momenti:

  • il coinvolgimento di una pluralità di soggetti;
  • la comprensione di tutti i processi (interni ed esterni) relativi ai dati, alla loro protezione e alla loro circolazione;
  • la costruzione di un sistema che preveda tra le altre cose: ruoli e responsabilità definite nei diversi soggetti ma nel quale il Titolare del trattamento (nel testo originale del GDPR Data Controller) abbia il controllo completo di ogni flusso (anche quando per ragioni tecniche ed organizzative i dati escono dalla sua struttura); l’adozione di idonei presidi di sicurezza; la trasparenza delle informazioni (rendere cioè manifeste le modalità del trattamento dei dati personali anche verso l’esterno dell’organizzazione.
  • controlli e verifiche cicliche sul funzionamento dell’intero complesso.

Un solo responsabile viene individuato: il Titolare del trattamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3