Questo secondo articolo della rubrica è dedicato a due pietre angolari della protezione dei dati personali, rappresentate, rispettivamente, dalla nozione di titolare e da quella di responsabile del trattamento. L’importanza di una corretta definizione di queste due categorie emerge con la considerazione che, semplificando un po’, tutti i trattamenti di dati personali devono essere ricondotti ad esse.
Si tratta di due nozioni ormai consolidate. Introdotte inizialmente dalla Direttiva 95/46/Ce, come implementata in Italia dapprima dalla mitica legge n. 675/1996, la prima legge sulla privacy, e poi dal d.lgs. n. 196/2003, il c.d. Codice Privacy, oggi, con il Regolamento n. 679/2016, il c.d. Gdpr, trovano conferma e rafforzamento in taluni dei loro aspetti salienti.
Vedremo, nelle prossime settimane, come il legislatore italiano intenderà armonizzare ruolo, funzioni, nomenclatura e responsabilità del titolare e del responsabile del trattamento nella adottanda legge nazionale delegata che dovrebbe presto vedere la luce – al netto delle contingenze parlamentari e governative che caratterizzano questa turbolenta stagione che viviamo.
Partiamo da alcune brevi, ma fondamentali, precisazioni terminologiche: se è vero che, come è stato detto, ‘tradurre è tradire’, questo è un caso in cui la terminologia italiana può apparire fuorviante rispetto ai concetti più appropriati espressi in lingua inglese. Considerato poi che a Bruxelles sia la redazione delle norme da parte degli uffici sia le relative negoziazioni tra Stati membri avvengono in lingua inglese, è ad essa che dobbiamo guardare per capire il significato profondo delle leggi di derivazione comunitaria – con buona pace di Monsieur Junker, che all’indomani del voto anglosassone proBrexit aveva auspicato un ritorno al francese come lingua internazionale di lavoro dell’Unione Europea.
La parola Data Controller è infelicemente tradotta in italiano con titolare del trattamento. Titolare ha, nella lingua italiana, un significato evocativo che può trarre in inganno; il Data Controller non è infatti titolare, padrone, dei dati, ma solamente del trattamento dei dati, i quali restano però di esclusiva ‘proprietà’ del soggetto a cui si riferiscono, che in termini privacy si definisce l’interessato (in inglese è il Data Subject). La caratteristica fondamentale del titolare è la capacità di “determinare finalità e mezzi del trattamento” (art. 4 del Gdpr).
Con ciò si intende che il titolare è il soggetto che tratta i dati forniti dall’interessato per i suoi scopi: ad esempio, un supermercato sarà titolare del trattamento dei dati da me forniti per ottenere la carta fedeltà che mi dà diritto a sconti su determinati prodotti. La finalità è dunque, in questo caso, unicamente quella di fidelizzazione del cliente.
Si noti inoltre che il concetto di titolare del trattamento- come già chiarito dal Gruppo Art. 29 (anche noto come Art. 29 Working Party), il gruppo di lavoro europeo che fornisce pareri, opinioni e linee guida sulle normative europee in tema di data protection– sia un concetto funzionale, ovvero finalizzato all’assegnazione di responsabilità laddove intervenga un’influenza effettiva, basandosi quindi su un’analisi fattuale piuttosto che formale.
Ad ogni modo, la definizione di titolare richiama la persona fisica o giuridica capace di determinare la finalità e le modalità del trattamento. In tal senso, essa ha avuto sempre una univoca interpretazione che attribuisce alla persona fisica la titolarità dei trattamenti attribuibili all’individuo nell’esercizio di una professione o attività (tipo medico, avvocato, estetista, idraulico, ecc..), mentre la titolarità è attribuibile alla persona giuridica nella sua totalità, sia essa pubblica o privata, laddove il trattamento è riferibile rispettivamente ad un ente pubblico ovvero ad una società, associazione, cooperativa, consorzio, fondazione di diritto privato, e cosi via.
Nell’ambito, poi, dei trattamenti di dati riferibili ad una persona giuridica, per ovvie ragioni pratiche di individuazione di un soggetto fisico chiamato anche a dover rispondere alle eventuali richieste provenienti, se del caso, da una Procura della Repubblica, sia in sede di indagine preliminare, sia in sede di rinvio a giudizio, il legale rappresentante pro tempore della stessa si farà carico delle azioni e responsabilità attive e passive che derivano dai vari trattamenti che la persona giuridica metterà in campo nell’esercizio delle sue funzioni e nel perseguimento dello scopo sociale (in caso di persone giuridiche private) o dello scopo istituzionale (in caso di persone giuridiche pubbliche).
Ben potendosi in tali circostanze delegare a persone diverse dal legale rappresentante pro tempore i soli poteri attivi sulle politiche di tutela dei dati – ad esempio in caso di attribuzione ad uno o più delegati o preposti interni (quelli che una volta si chiamavano anche responsabili interni del trattamento, ma che ora sembrerebbe, tale denominazione, non più incontrare i favori di parte della dottrina) di compiti e funzioni “privacy” – restando invece difficilmente delegabile la rappresentanza passiva e dunque la relativa responsabilità giuridica per i trattamenti in generale posti in essere dalla azienda / ente pubblico che ricadranno sempre sulle figure di vertice – come peraltro confermato nel noto caso Google Video, dove alcuni anni fa furono rinviati a giudizio a Milano e poi condannati in primo grado – ma poi assolti in appello – i tre membri del CdA di quella società oltre al Global Privacy Officer per sue funzionali responsabilità. Fermo restando, poi, che ciascun responsabile interno e incaricato risponderà per atto proprio in caso di specifiche violazioni di legge.
Questa ovvia interpretazione è avvalorata da una costante giurisprudenza nazionale ed internazionale prodotta dalle Autorità di controllo in materia nonché dalle prassi applicative più diffuse e dalla dottrina tutta, nessuna esclusa.
In tal senso, il primo, più autorevole ed antico provvedimento in materia emanato dal Garante per la protezione dei dati personali il 9 dicembre 1997 a firma di Stefano Rodotà, chiariva come “il riferimento alla “persona fisica” , che compare nella definizione del “titolare” concerne gli individui che effettuano un trattamento di dati (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità di un’attività che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell’ambito e nell’interesse di una persona giuridica, di un’impresa o di un ente nel quale ricoprono incarichi di rilievo. In altre parole, qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.)”.
Tale norma, se interpretata in maniera diversa, e cioè ritenendo che la persona giuridica, la pubblica amministrazione o l’ente possano individuare al proprio interno una o più persone fisiche titolari del trattamento, renderebbe illogica la sequenza dei soggetti indicati nella norma medesima, ove “di seguito alla “persona fisica” (titolare del trattamento) è menzionata la persona giuridica, la persona fisica, l’ente, l’associazione o l’organismo titolare, appunto, del trattamento.”
Il Data Processor è invece tradotto in italiano come ‘responsabile del trattamento’: altra traduzione sibillina, dal momento che il concetto di responsabilità non può non ricordare, in un contesto di civil law, l’illecito aquiliano, con tutto il suo retaggio della tradizione giuridica. Quello che si vuole invece definire è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare” (art. 4 del GDPR). Il responsabile entra in gioco quando il titolare decide di delegare parte del trattamento ad un soggetto esterno e può quindi essere definito come la longa manus del titolare: esso è privo di autonomia nel decidere come e per quali ragioni può trattare i dati degli interessati.
Fino a qui, però, il Regolamento non ha innovato granché rispetto alla precedente Direttiva e al Codice Privacy, poiché questi ruoli erano già ivi minuziosamente definiti. In cosa consiste, allora, la ‘rivoluzione copernicana’ del Gdpr sul punto?
A mio modo di vedere, l’aspetto inedito e di maggiore novità del Gdpr, sul punto del responsabile del trattamento, è nascosto, ai sensi dell’art. 28, tra le pieghe relative alle modalità di nomina di questa importante e facoltativa figura. Dalla nomina con atto unilaterale del titolare, di cui al Codice Privacy, si passa alla possibilità di utilizzare qualunque atto giuridico, incluso un contratto. La possibilità di ricorrere allo strumento negoziale accentua l’accountability, qualità ricorrente nel GDPR, volta ad informare tutte le azioni delle parti in gioco in occasione di qualsiasi forma di trattamento. Inoltre, grazie alla possibilità di definire i rapporti tra titolare e responsabile del trattamento, sarà possibile meglio allocare obblighi e responsabilità delle parti, soprattutto in casi drammatici come in occasione di un data breach.
Infine, sempre l’art. 28 del Gdpr tocca un altro punto cruciale, rilevante soprattutto in quei casi in cui nei rapporti tra le parti, in esecuzione di taluni trattamenti occasionali o ripetuti, emerge l’esigenza di disciplinare i rapporti tra più outosourcers, o meglio tra outsourcer e sub-outsourcer, laddove quest’ultimo andrebbe a ricoprire il ruolo di sub-responsabile, nominato direttamente dal responsabile in ragione di una autorizzazione scritta, specifica o generale, rilasciata in precedenza dal titolare. Finora, invece, il tema non era per nulla affrontato dalla legge vigente, andando a generare meccanismi di nomina a volte anche fittizia da parte del titolare di subresponsabili sconosciuti ovvero generando solo ampie aree di pericolosa non compliance alla legge.
