Il titolare del trattamento ha il potere di condizionare l’operato dei propri responsabili e di costringerli al rispetto delle istruzioni che, per altro verso, ha il dovere di impartire loro.
Indice degli argomenti
Libertà di impresa vs. normativa GDPR
Non si tratta più, come avveniva in passato, di limitarsi a commissionare un incarico a terzi, ma di determinare, nel dettaglio, come si pretende che quell’incarico venga adempiuto.
Eppure, esiste un principio, quello della libertà di impresa, che queste dinamiche rischiano di comprimere, a volte perfino di mortificare.
Fino a che punto è immaginabile che un’impresa interferisca nell’organizzazione di un’altra, prima che la capacità di autodeterminarsi di quest’ultima non cessi di potersi considerare tale?
Un esempio Pratico: Deloitte
Deloitte dichiara, sul proprio sito internet, di servire oltre 1500 clienti. È immaginabile che ognuno di essi pretenda di determinare ogni singolo aspetto del trattamento commissionato alla nota società di consulenza?
Immaginiamo, per fare un esempio, le politiche di back-up. 1500 potenziali istruzioni diverse. A chi piace il cloud, chi lo rinnega. Chi pretende la pseudonimizzazione, chi preferisce l’anonimizzazione, e così via. Qualora decidesse di avvalersi di un fornitore esterno per sostenerne le esigenze di cybersecurity, dovrebbe domandare 1500 autorizzazioni alla nomina di un sub-responsabile, sottoponendosi al rischio che qualcuno la neghi, di fatto indebolendo le proprie politiche di sicurezza?
Possibile – e questa è davvero l’ultima domanda retorica – che una qualunque società non sia libera di organizzare i propri back-up o le proprie politiche di sicurezza come preferisce, considerando come unico punto di riferimento la normativa vigente, senza correre il rischio di venire schiacciata dalle pretese contrattuali dei titolari che la inquadrano come proprio responsabile?
Ricostruiamo il quadro.
Il GDPR e il rapporto gerarchico
Il GDPR delinea un rapporto di tipo gerarchico tra il titolare e il responsabile del trattamento, avallando, di fatto, una limitazione della libertà del responsabile a fronte di ampi poteri decisionali in capo al titolare. Il titolare, per quel che qui importa, è definito come il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”, mentre il responsabile, vincolato dalle scelte già operate dal titolare, è il soggetto che “tratta dati personali per conto” dello stesso.
Il quadro normativo europeo
Tuttavia, è necessario considerare che ci si pone in un quadro in cui le parole della nostra carta costituzionale (art. 41) e della Carta dei diritti fondamentali dell’Unione Europea (art. 16) sono chiare: l’iniziativa economica privata è libera.
Nonostante tale cristallina tutela costituzionale ed europea, la libertà di impresa non può essere intesa, né perseguita senza limitazioni. Essa, si scontra inevitabilmente con altri diritti e interessi meritevoli di tutela, quali l’utilità sociale e i valori della sicurezza, della libertà, della dignità umana nonché della salute e dell’ambiente che si pongono come limiti alla sua espressione.
In questo contesto, emerge un’aspettativa sociale secondo cui le politiche aziendali dovrebbero rispondere alle esigenze dei diversi soggetti coinvolti nelle attività economiche. Tra questi, ad esempio, rientrano i lavoratori, i consumatori e gli utenti. Di conseguenza, la gestione e l’organizzazione di un’impresa devono diventare una sintesi equilibrata tra gli obiettivi propri del modello imprenditoriale – spesso focalizzati sull’interesse economico – e l’adozione di strategie che tengano conto delle aspettative sopra menzionate. Quando l’attività aziendale include o implica il trattamento di dati personali, tra tali aspettative rientrano inevitabilmente anche le tutele previste dal GDPR e dal Codice Privacy.
Bilanciamento tra libertà e normativa
Si ritiene, dunque, del tutto opportuno porre le previsioni della normativa privacy sull’altro piatto della bilancia, rispetto alla libertà di impresa. E, così facendo, cercare di comprendere come e se sia possibile coniugare le istruzioni del titolare, che si traducono spesso in indicazioni vincolanti sull’organizzazione aziendale del responsabile, con il principio per cui una società dovrebbe essere libera di autodeterminarsi.
Definizione delle figure di titolare e responsabile
Le riflessioni in merito alla corretta costruzione della catena di trattamento devono necessariamente partire dalle figure che la compongono. Nell’ottica della normativa, quelli di “titolare del trattamento” e di “responsabile del trattamento” sono concetti funzionali: il diverso status giuridico delle due figure in esame, pur basandosi su caratteristiche normativamente previste (e richiamate nei paragrafi successivi) mira a ripartire le responsabilità in funzione dei ruoli effettivamente ricoperti.
Ciò implica che la qualifica di titolare o di responsabile deve prendere le mosse da un’analisi degli elementi di fatto, delle circostanze del caso e delle attività concretamente svolte in una situazione specifica. È, dunque, fondamentale interrogarsi sull’effettivo significato degli elementi caratterizzanti tali figure.
La linea di demarcazione tra titolare e responsabile
Il titolare del trattamento è colui che prende decisioni determinanti sulle finalità (“perché”) e sui mezzi (“come”) del trattamento. Il responsabile, invece, opera per conto del titolare, rispettando i limiti e le istruzioni impartite, senza poter decidere autonomamente sulle finalità.
La questione, quindi, è: dove tracciare la linea di demarcazione tra le decisioni riservate al titolare e quelle che possono essere lasciate a discrezione del responsabile. Le scelte sulla finalità sono di competenza del titolare del trattamento. Per quanto concerne la definizione dei mezzi, invece, l’European Data Protection Board riconosce un certo margine di manovra al responsabile che, di fatto, può assumere alcune determinazioni. Tuttavia, sul punto deve operarsi una distinzione tra “mezzi essenziali” e “mezzi non essenziali”.
I primi, relativi al tipo di dati personali trattati, alla durata del trattamento, alle categorie di destinatari e di interessati, sono intrinsecamente riservati al titolare. Al contrario, i “mezzi non essenziali” sono quelli che attengono agli aspetti più pratici legati all’esecuzione del trattamento (quali la scelta di un particolare tipo di hardware, di software o di misure di sicurezza specifiche) e possono essere determinati anche dal responsabile.
Ecco, dunque, che un apparente cortocircuito normativo fa emergere un primo possibile inquadramento del bilanciamento fra la libertà di impresa del responsabile e il necessario rispetto della normativa in materia di protezione dei dati personali. Alla luce del margine d’azione riconosciuto al responsabile, si potrebbe sostenere una sua sostanziale autonomia nel coinvolgimento di una parte terza utile alla progettazione della propria attività. Si pensi alla necessità del responsabile di implementare, mediante l’intervento di un terzo, uno strumento operativo per una miglior organizzazione e offerta dei propri servizi.
Tale autonomia, in realtà, è solo apparente: se l’implementazione dello strumento (che rientrerebbe nelle possibili scelte del responsabile) comporta il coinvolgimento di un terzo, tale scelta rientra nell’alveo della determinazione delle categorie di destinatari, dunque di un mezzo essenziale. In tal senso, dunque, la libertà di impresa del responsabile è limitata dalla necessità di una riattribuzione dei poteri di scelta – in questo caso di autorizzazione – dei sub responsabili al solo titolare del trattamento.
Autonomia e limiti del responsabile
La formulazione utilizzata dal GDPR per definire il ruolo del responsabile del trattamento richiama il concetto di servizio a favore degli interessi di terzi.
Il responsabile è chiamato a seguire le istruzioni impartite dal titolare, come si diceva, almeno per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi. La liceità del trattamento deriva dall’inquadramento garantito dal titolare e, per tale motivo, il responsabile non deve trattare i dati in modo diverso da quanto indicato nelle relative istruzioni.
È, quindi, fondamentale che il titolare adotti un approccio granulare all’interno dell’atto di nomina che non dovrebbe sostanziarsi in un mero richiamo delle informazioni di cui all’articolo 28 del GDPR, ma includere indicazioni concrete e specifiche in merito ad ogni singolo trattamento affidato. Solo in tal modo potrà essere davvero definito un perimetro di mezzi e di finalità dai quali il responsabile, in quanto tale, non dovrebbe discostarsi.
Ciò considerato, è da ricordare che, così come per il titolare, anche l’individuazione del responsabile non può prescindere da una situazione fattuale: non è sufficiente che un contratto designi una parte come «appaltatore» o “subappaltatore” affinché tale parte sia considerata responsabile del trattamento ai sensi della normativa in materia di protezione dei dati.
Infatti, pur in presenza di una cornice definita dal titolare, nella prassi, non può escludersi un’autonomia decisionale e gestionale in capo al responsabile. Tale autonomia può manifestarsi disattendendo le istruzioni ricevute ovvero determinando attivamente alcune specifiche caratteristiche del trattamento: si pensi all’adattamento dei parametri di funzionamento di un gestionale alle specifiche esigenze operative manifestate direttamente dal responsabile.
In tali casi, il soggetto in questione non può che spogliarsi delle vesti di responsabile e assumere quelle di titolare autonomo per quello specifico trattamento, con un’automatica assunzione di tutte le relative responsabilità.
In pratica, quindi, il servizio offerto dal responsabile potrebbe non essere destinato al solo trattamento di dati affidato dal titolare o addirittura potrebbe prevedere altre funzionalità, diverse rispetto a quelle richieste dal titolare. In tale contesto, il fornitore può essere in grado di determinare in modo indipendente le specifiche finalità o le caratteristiche tecniche dello strumento utilizzato ai fini della prestazione. Salva, come sempre, l’analisi caso per caso del grado di influenza esercitata su finalità e mezzi, in siffatta situazione è difficile non optare per una qualificazione del fornitore come autonomo titolare del trattamento.
Alla luce di quanto precede, pare che, nonostante quanto previsto dalla normativa privacy, vi sia spazio per una concreta libertà del responsabile di organizzare la propria attività di impresa valicando i confini definiti dal titolare e adottando scelte autonome.
Conclusioni
Il bilanciamento tra la libertà di impresa e la normativa sulla protezione dei dati personali è un tema cruciale, la cui risoluzione non solo non è pacifica, ma non può nemmeno essere raggiunta senza una consapevole considerazione del dato fattuale.
L’adempimento letterale della normativa in materia di protezione dei dati personali, nell’ottica del responsabile del trattamento, si traduce in un limite oggettivo all’organizzazione di impresa soprattutto in termini di scelte di esternalizzazione. Tuttavia, è necessario considerare quanto rappresentato in merito all’approccio da adottare nell’identificazione delle figure del trattamento: non è accettabile una cristallizzazione formale dei ruoli, ma deve sempre essere lasciato un ragionevole spazio all’analisi delle circostanze concrete. Solo in tale ottica è possibile riconoscere, alla luce delle circostanze, un ruolo decisionale attivo in capo al responsabile, con tutte le conseguenze che ne derivano.
Considerando che l’obiettivo di fondo, nell’individuazione del titolare, è garantire il rispetto del principio di responsabilizzazione e una protezione efficace dei dati personali, è opportuno interpretare i concetti di titolare e di responsabile in modo sufficientemente estensivo da considerare non solo il quadro formale ma anche quello fattuale. In tal modo è possibile garantire la piena efficacia della normativa in materia di protezione dei dati, evitare lacune e catene infinite del trattamento nonché prevenire elusioni potenziali delle norme.
