Il responsabile esterno privacy

Falzone Eric 15/05/08
INDICE
INTRODUZIONE
I – DEFINIZIONE DI RESPONSABILE
II – LA NATURA GIURIDICA DELLA NOMINA A RESPONSABILE
III – QUANDO UN SOGGETTO ESTERNO DEVE ESSERE NOMINATO RESPONSABILE
IV – FORME CONTRATTUALI PER L’AFFIDAMENTO IN ESTERNO DI ATTIVITA’ DI TRATTAMENTO
CONCLUSIONI
FONTI
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) – Codice Civile – Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) – Provvedimento a carattere generale del Garante Privacy del 24 maggio 2007: Guida pratica e misure di semplificazione per le piccole e medie imprese – Corte di Cassazione – Sezione Lavoro, Sentenza 2 ottobre 2006, n. 21287

Copyright 2008 – Dr. Eric Falzone

Via A. Gloria 21 – 35030 Rubano (PD) – Tel. 348-6916273 – Fax 049-631246 – E-mail: eric.falzone@eucs.it
Tutti i diritti sono riservati.
La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore.
E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni.
INTRODUZIONE
L’espressione “Responsabile Esterno Privacy”, non è esplicitamente prevista nel Codice Privacy, ma deriva dall’interpretazione dottrinale degli articoli 4 comma 1 punto g e 29 del D.Lgs 196/03.
Tali articoli, infatti, delineano la figura del “Responsabile del Trattamento” non facendo menzione alcuna al fatto che esso sia interno (Responsabile Interno) o esterno (Responsabile Esterno) all’azienda.
La distinzione nasce pertanto da un’esigenza puramente organizzativa e di inquadramento contrattuale di tutti quei soggetti preposti dal titolare al trattamento di dati personali.
Rimandando ad altra sede la trattazione del Responsabile Interno Privacy, obiettivo di questo saggio è definire la natura giuridica della nomina del Responsabile Esterno motivando le ragioni del suo utilizzo in caso di trattamenti affidati all’esterno dal titolare.
 Volume consigliato

La tutela della privacy in ambito sanitario

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.

Pier Paolo Muià | 2018

20.00 €  19.00 €

I – DEFINIZIONE DI RESPONSABILE
Ai sensi dell’art. 4.1.g del D.Lgs 196/03 il Responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.”
In sintesi è qualsiasi soggetto che il titolare decide di “mettere a capo” della gestione e supervisione di un trattamento di dati personali.
Il Responsabile può essere “…designato dal titolare facoltativamente” (art. 29.1 – D.Lgs 196/03) e “Se designato…è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle… disposizioni in materia di trattamento…compreso il profilo relativo alla sicurezza” (art. 29.2 – D.Lgs 196/03).
Nel caso del Responsabile Esterno, quindi, il Titolare deve selezionare preventivamente e accuratamente il soggetto che intende mettere a capo di un trattamento di dati personali, ed in particolare deve valutarne la politica aziendale in merito alla tutela dei dati personali, la sicurezza delle informazioni e il sistema di gestione privacy adottato.
Il titolare, inoltre, può liberamente decidere che “Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.” (art. 29.3 –D.Lgs 196/03).
Il titolare, perciò, una volta selezionati i Responsabili, deve provvedere a nominarli definendo nel dettaglio attività, modalità e ambito di trattamento che intende loro delegare (“I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.”  art. 29.4 – D.Lgs 196/03) e organizzarsi per la verifica del rispetto delle funzioni delegate e delle istruzioni impartite (“Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza...” art. 29.5 – D.Lgs. 196/03).
II – LA NATURA GIURIDICA DELLA NOMINA A RESPONSABILE
La nomina a Responsabile è qualificabile come un negozio giuridico costitutivo con il quale il titolare esprime una dichiarazione di volontà recettizia espressa, che comporta l’assunzione di determinate obbligazioni per le parti (assegnazione di compiti e verifica della loro osservanza per il titolare; rispetto delle istruzioni impartite per il responsabile) e che ha come scopo l’adempimento di un obbligo di legge.
Oggetto del negozio è la definizione di compiti e istruzioni per il trattamento di dati personali ed in particolare la precisazione delle finalità, delle modalità e del profilo di sicurezza da rispettare nell’attività delegata.
La forma deve essere obbligatoriamente quella scritta così come previsto per legge ex art. 29.4 del Codice Privacy.
Tale negozio giuridico può essere ricondotto alla figura negoziale del contratto, ed in particolare alla disciplina relativa al mandato:
›          Art. 1703 C.C. “Il mandato e’ il contratto col quale una parte (mandatario) si obbliga a compiere uno o più atti giuridici per conto dell’altra (mandante).”
›          Art. 1708 C.C. – Contenuto del Mandato: “Il mandato comprende non solo gli atti per i quali e’ stato conferito, ma anche quelli che sono necessari al loro compimento. Il mandato generale non comprende gli atti che eccedono l’ordinaria amministrazione, se non sono indicati espressamente.”
›          Art. 1710 C.C. – Diligenza del Mandatario: “Il mandatario e’ tenuto a eseguire il mandato con la diligenza del buon padre di famiglia… Il mandatario è tenuto a rendere note al mandante le circostanze sopravvenute che possono determinare a revoca o la modificazione del mandato.”
›          Art. 1711 C.C. – Limiti del Mandato: “Il mandatario non può eccedere i limiti fissati nel mandato. L’atto che esorbita dal mandato resta a carico del mandatario, se il mandante non lo ratifica. Il mandatario può discostarsi dalle istruzioni ricevute qualora circostanze ignote al mandante, e tali che non possano essergli comunicate in tempo, facciano ragionevolmente ritenere che lo stesso mandante avrebbe dato la sua approvazione.”
›          Art. 1713 C.C. – Obbligo di Rendiconto: “Il mandatario deve rendere al mandante il conto del suo operato…”
›          Art. 1717 C.C. – Sostituto del Mandatario: “Il mandatario che, nell’esecuzione del mandato, sostituisce altri a se stesso, senza esservi autorizzato o senza che ciò sia necessario per la natura dell’incarico, risponde dell’operato della persona sostituita… Il mandatario risponde delle istruzioni che ha impartite al sostituto. Il mandante può agire direttamente contro la persona sostituita dal mandatario.”
›          Art. 1722 C.C. – Cause di Estinzione: “Il mandato si estingue: 1) per la scadenza del termine o per il compimento, da parte del mandatario, dell’affare per il quale e’ stato conferito – 2) per revoca da parte del mandante – 3) per rinunzia del mandatario – 4) per la morte, l’interdizione o l’inabilitazione del mandante o del mandatario. Tuttavia il mandato che ha per oggetto il compimento di atti relativi all’esercizio di un’impresa non si estingue, se l’esercizio dell’impresa è continuato, salvo il diritto di recesso delle parti o degli eredi.”
In generale quindi la nomina a responsabile può essere ricondotta al modello del mandato in quanto il soggetto esterno (mandatario) si obbliga a compiere una o più operazioni di trattamento per conto del titolare (mandante).
Qualora invece il titolare, per la peculiarità dell’attività affidata all’esterno, abbia necessità di conferire al responsabile, contestualmente alla nomina, anche la rappresentanza (art. 1704 C.C.) dovrà obbligatoriamente ricorrere alla procura.
III – QUANDO UN SOGGETTO ESTERNO DEVE ESSERE NOMINATO RESPONSABILE
Una delle tesi più dibattute in dottrina privacy è quella relativa all’inquadramento dei soggetti esterni ed in particolare all’effettiva necessità di doverli qualificare come responsabili esterni anziché poterli considerare come degli “autonomi titolari del trattamento”.
La soluzione a tale dilemma va ricercata in primis nelle motivazioni giuridiche che sottostanno al rapporto tra titolare e interessato.
Nella maggior parte dei casi infatti – escludendo le ipotesi in cui il trattamento è necessario per adempiere ad un obbligo di legge o è svolto da un soggetto pubblico o no profit – l’interessato fornisce i suoi dati personali e presta – ove necessario – il suo consenso al fine di instaurare un rapporto avente natura contrattuale (art. 1321 C.C.).
La liceità e titolarità del trattamento è quindi direttamente connessa al rapporto contrattuale posto in essere con l’interessato e il soggetto autorizzato alla raccolta dei dati personali diventa – ai sensi dell’art. 4.1.f del D.Lgs 196/03 – a tutti gli effetti il titolare del trattamento proprio in virtù di tale rapporto.
Nel caso più soggetti siano parti in causa di uno stesso contratto con un interessato e siano entrambi autorizzati a trattare dati personali, ricorre invece quella particolare fattispecie definita dalla dottrina con il termine di “Cootitolarità”.
La cootitolarità è configurabile come la situazione giuridica in cui più soggetti sono congiuntamente titolari di dati personali di un interessato in quanto parti di uno stesso rapporto contrattuale.
›          Art. 4.1.g – D.Lg 196/03: “titolare la persona fisica… giuridica… cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità… modalità… strumenti utilizzati… profilo della sicurezza;”
Il titolare e/o i cootitolari così individuati, devono poi adempiere ad una serie di oneri trai quali: gli obblighi di informativa (art. 13 del D.lgs 196/03), di consenso (art. 23, 24, 26 e 27 del D.Lgs 196/03), di nomina di soggetti autorizzati al trattamento (art. 29 e 30 del D.Lgs 196/03), di sicurezza (art. 31 del D.Lgs 196/03) e di adozione di misure minime di sicurezza (art. 33 del D.Lgs 196/03).
La cootitolarità non va però assolutamente confusa con l’affidamento in esterno di una serie attività o di operazioni di trattamento da parte di un determinato titolare.
In questi casi, infatti, il soggetto esterno a cui viene delegato un trattamento, non potrà essere considerato in nessun caso titolare, ma dovrà essere inquadrato obbligatoriamente con la figura del responsabile come previsto ex art 29 del D.Lg. 196/03.
La logica di questo processo si evince da un interpretazione analitica comparata delle disposizioni del Codice Privacy relative al “Titolare” (art. 4.1.f e 28) con quelle relative al Responsabile del Trattamento” (art. 4.1.g e 29).
Partendo dalle definizioni contenute nel Codice Privacy si ha che:
›          il responsabile è “la persona fisica… giuridica, la pubblica amministrazione… preposti dal titolare al trattamento di dati personali” (art. 4.1.g del D.Lg 196/03) e designata “…dal titolare facoltativamente”. (art. 29.1 del D.Lg 196/03).
›          il titolare è “la persona fisica… giuridica… cui competono… le decisioni in ordine alle finalità… modalità del trattamento… strumenti utilizzati…profilo della sicurezza” (art. 4.1.f del D.Lg 196/03); inoltre “Quando il trattamento è effettuato da una persona giuridica… titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità… modalità del trattamento… profilo della sicurezza.” (art. 28.1 del D.Lg 196/03).
Da ciò ne consegue che la decisione di affidare all’esterno un trattamento è una scelta del tutto “facoltativa” del titolare, che in alternativa può optare per una modalità di gestione che preveda il trattamento di dati personali esclusivamente all’interno della propria struttura aziendale.
Nel caso in cui il titolare sia una persona giuridica che decida di affidare un’attività di trattamento ad una sua unità periferica priva di potere decisionale autonomo, si ricadrà sempre ancora nella fattispecie del trattamento svolto all’interno della struttura aziendale, in quanto il Codice Privacy definisce esplicitamente titolare la persona giuridica nel suo complesso.
In tutti gli altri casi in cui il titolare decida facoltativamente di affidare in esterno un trattamento si sarà invece in presenza di un responsabile del trattamento.
La ratio di tale interpretazione è da ricercarsi nella motivazione sottostante al conferimento dei dati personali e al relativo consenso da parte dell’interessato e alle garanzie che il titolare deve obbligatoriamente assicurare affinché tale attività risulti lecita.

 

Come precedentemente descritto, infatti, l’interessato conferisce i suoi dati e autorizza il trattamento in virtù di un preciso rapporto contrattuale che intende instaurare con uno specifico e ben determinato titolare.
L’interessato quindi si aspetta che i suoi dati siano trattati dal titolare esclusivamente all’interno della propria struttura e per le finalità direttamente connesse al rapporto precontrattuale o contrattuale instaurato o per le ulteriori finalità per cui ha prestato il suo consenso.
Escludendo il caso di cootitolarità nel quale più soggetti sono parte di uno stesso contratto, è quindi sempre in capo al titolare che ha raccolto i dati garantire gli obblighi di sicurezza previsti dal Codice Privacy e informare l’interessato relativamente a “i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;” (art. 13.1.d del D.Lg. 196/03).
Da ciò ne consegue che ogni qualvolta un titolare decida di affidare in esterno un trattamento dovrà procedere con la nomina a responsabile del soggetto prescelto e dovrà portare a conoscenza degli interessati tale nuova modalità di trattamento.
Qualora invece il titolare non intenda affidare in esterno alcun trattamento, ma si limiti semplicemente a comunicare dei dati personali a soggetti terzi, perché tale incombenza è prevista dal rapporto contrattuale instaurato, si sarà effettivamente in presenza di “titolari autonomi del trattamento”.
In questo caso, per rendere la comunicazione lecita sarà sufficiente che il titolare che ha raccolto i dati specifichi nell’informativa “…i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati…”.
IV – FORME CONTRATTUALI PER L’AFFIDAMENTO IN ESTERNO DI ATTIVITA’ DI TRATTAMENTO
Il titolare ha fondamentalmente due opzioni per effettuare un trattamento di dati personali:
›          “Internalizzare il trattamento” ovvero svolgere il trattamento all’interno della propria struttura organizzativa e giuridica;
›          “Esternalizzare il trattamento” ovvero affidare il trattamento in esterno a soggetti terzi instaurando un rapporto di tipo contrattuale cliente/fornitore;
Le principali forme contrattuali utilizzabili dal titolare per disciplinare le attività di trattamento da affidare all’esterno, possono essere ricondotte, a seconda del tipo di funzione delegata, alle seguenti tipologie:
›          Contratto di Appalto di Servizi
“L’appalto e’ il contratto col quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento… di un servizio verso un corrispettivo in danaro.” (Art. 1655 C.C.).
Il titolare deve ricorrere a questo tipo di contratto ogni qualvolta intenda affidare a terzi l’esecuzione di attività che possano prevedere per il loro compimento anche il trattamento di dati personali.
In questo caso quindi l’appaltatore è un vero e proprio imprenditore che, impiegando capitali e mezzi propri, si assume tutti i rischi connessi all’erogazione di tali servizi. Egli risponde quindi dell’operato dei propri dipendenti e dei danni eventualmente causati da questi verso terzi.
Sotto questa categoria possono essere classificate fondamentalmente due tipologie di contratto di servizi:
o        Appalto di Servizi con trattamento di dati personali (quale ad esempio l’appalto per il servizio di mailing): in questo caso l’appaltatore dovrà essere obbligatoriamente nominato responsabile esterno.
o         Appalto di Servizi senza trattamento di dati personali (quale per esempio l’appalto per il servizio di pulizia locali): in tal caso l’appaltatore non dovrà essere nominato responsabile, ma potrà eventualmente essere inquadrato come “Addetto Esterno ai Servizi” qualora abbia accesso ai locali ma non sia autorizzato al trattamento di dati personali.
›          Contratto d’Opera
Il contratto d’opera si realizza ogni qualvolta“…una persona si obbliga a compiere verso un corrispettivo un’opera o un servizio, con lavoro prevalentemente proprio e senza vincolo di subordinazione nei confronti del committente…”  (Art. 2222 C.C.).
Il contratto d’opera si differenzia dall’appalto fondamentalmente per i seguenti motivi:
›          l’attività è svolta con “lavoro prevalentemente proprio”
›          il prestatore d’opera non dispone di una vera e propria organizzazione imprenditoriale
Nel caso che l’attività affidata preveda un trattamento di dati personali, il titolare dovrà perciò provvedere a nominare anche il prestatore d’opera responsabile esterno.
›          Contratto di Outsourcing
Il contratto di outsourcing è un negozio giuridico di origine anglosassone che deriva dalla prassi di Common Law e che non trovando una disciplina specifica nel nostro ordinamento rientra nei contratti atipici.
Non esistendo quindi un modello negoziale di riferimento, si tende a regolare il contratto di outsourcing secondo gli schemi giuridici dei contratti d’appalto, d’opera e di subfornitura.
Il termine “outsourcing” trae origine dalla fusione delle due parole inglesi “outside” e “resourcing” e consiste in un’operazione di decentramento produttivo tramite il quale un titolare decide di far svolgere a soggetti terzi attività che, in precedenza, erano svolte internamente utilizzando risorse materiali e immateriali proprie.
L’outsourcing quindi si differenzia dall’appalto di servizi proprio per il fatto che mentre nell’appalto si affidano all’esterno attività che tecnicamente non possono essere svolte all’interno, nell’outsourcing si esternalizzano attività che sono già in corso di svolgimento in azienda.
Pertanto ogni qualvolta un titolare decida di adottare l’outsourcing dovrà nominare il fornitore responsabile esterno.
Il processo di esternalizzazione può assumere varie graduazioni sino ad arrivare alla cessione dell’intero ramo aziendale.
La Corte di Cassazione – Sezione Lavoro nella Sentenza 2 ottobre 2006, n. 21287 ha affrontato in modo sistematico tali problematiche analizzando e confrontando le fattispecie dell’outsourcing, della cessione del ramo d’azienda e dell’appalto dei servizi:
“[] il fenomeno c.d. di “outsourcing” comprende tutte le possibili tecniche mediante le quali un’impresa dismette la gestione diretta di alcuni segmenti dell’attività produttiva e dei servizi estranei alle competenze di base (c.d. core business). Ciò può fare, tra l’altro, sia appaltando a terzi l’espletamento del servizio, sia cedendo un ramo di azienda. La scelta tra le varie alternative è rimessa all’insindacabile valutazione dell’imprenditore, a norma dell’articolo 41 Costituzione. Sta di fatto che l’appalto di servizi e la cessione di ramo di azienda sono contratti con caratteri giuridici nettamente distinti e non confondibili.
Per cessione di ramo di azienda, agli effetti dell’art. 2112 c.c., si intende il trasferimento di un insieme di elementi produttivi, personali e materiali, organizzati dall’imprenditore per l’esercizio dell’attività, che si presentino prima del trasferimento come una entità dotata di autonoma ed unitaria organizzazione, idonea al perseguimento dei fini dell’impresa e che conservi nel trasferimento la propria identità (vedi Cass. n. 206 del 2004, Cass. n. 19842 del 2003, Cass. n. 17207 del 2002).
L’appalto di opere e servizi o di manutenzione ordinaria […] costituisce il contratto con il quale una parte assume, con organizzazione dei mezzi necessari, con proprio personale e con gestione a proprio rischio, il compimento all’interno di una azienda di un’opera o di un servizio verso un corrispettivo in danaro (art. 1655 c.c.).
Con la cessione di un ramo di azienda si ha dunque il trasferimento di un segmento dell’organizzazione produttiva dotato di autonoma e persistente funzionalità. L’utilizzazione da parte del cedente dei prodotti e dei servizi del segmento ceduto formerà oggetto di distinto contratto con il cessionario.
Con l’appalto di opere e di servizi, invece, il committente non dismette un segmento produttivo, ma si avvale dei prodotti e dei sevizi che gli necessitano, che gli sono forniti da altra impresa che li produce avvalendosi di una propria organizzazione imprenditoriale […]”
CONCLUSIONI
La decisione di affidare all’esterno un trattamento di dati personali è una scelta “facoltativa” del titolare, che in alternativa può decidere di svolgere le operazioni di trattamento completamente all’interno della propria struttura aziendale.
Nel caso un titolare opti per l’esternalizzazione di un trattamento, dovranno essere sempre rispettate le seguenti regole:
  • selezione accurata e preventiva del soggetto che si intende mettere a capo del trattamento.
  • approfondita valutazione della politica aziendale in merito alla tutela dei dati personali, alla sicurezza delle informazioni e al sistema di gestione privacy che il soggetto selezionato ha adottato.
  • nomina formale a responsabile del soggetto prescelto con dettagliata definizione di attività, modalità e ambito di trattamento che si intende delegare.
  • comunicazione agli interessati della nuova modalità di trattamento definita.
  • implementazione di una procedura per la puntuale verifica del rispetto delle funzioni delegate e delle istruzioni impartite al responsabile.
DR. ERIC FALZONE – PADOVA 05 MAGGIO 2008

Falzone Eric

Scrivi un commento

Accedi per poter inserire un commento