Responsabili interni ed esterni al trattamento dei dati personali, la nuova figura dell’incaricato e le criticità che pone l’abrogazione dell’art. 29 del D. Lgs. 196/2003 apportata dal D. Lgs. 101/2018

MICHELE Gorga 12/10/18
L’entrata in vigore del D.Lgs. 101/2018 ha letteralmente rivoluzionato le norme contenute nel D.Lgs. 196/2003 comunemente conosciuto come Codice Privacy tra quelle qui di interesse l’abrogazione dell’art. 29 del Codice privacy così come recentemente modificato dall’art. 28 della Legge 167/2017, e la serie di penetranti modifiche tra cui il malinteso e troppo frainteso art. 2-quaterdecies rubricato come “Attribuzione di funzioni e compiti a soggetti designati” il quale al comma 1 prevede che “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.” Al secondo comma è stato previsto che: “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.”

Il designato al trattamento

Questa norma ha indotto alcuni incauti e troppo superficiali commentatori a ritenere soppressa la figura del responsabile interno al trattamento mutata nella “nuova” figura ossia quella di “designato”, una sorta di nuova figura “ibrida” che assorbirebbe le precedenti figure del responsabile interno e dell’incaricato al trattamento, gettando lo scompiglio nell’organizzazione degli Enti locali che con grande difficoltà di strumenti e di risorse umane stanno facendo importanti sforzi per adeguarsi al GDPR.
Occorre, quindi procedere, per fare chiarezza in ordine sistematico: in merito è da premettere che nella gerarchia delle fonti il Regolamento Europeo 2016/679 è norma generale rispetto alla quale la normativa nazionale è di completamento (riempimento). Inoltre occorre tenere conto che nella materia specifica si sono susseguiti in modo torrenziale interventi normativi spesso contraddittori tra loro, sicché utilizzando i criteri fissati all’art. 12 del R.D. 16/3/1942 n. 262 occorre, non solo tenere conto del dignificato proprio delle parole secondo le connessione di esse, ma anche delle intenzioni del legislatore e dell’analogia sia legis che juris.
La nuova figura del “designato” individuato dalla norma è stata collocata al Capo IV del Codice privacy 196/2003 come modificato dal D. Lgs. n.101/2018, tra le disposizioni relative al titolare del trattamento e al responsabile del trattamento. Sulla base del criterio interpretativo del significato proprio delle parole utilizzate dal legislatore “designare” significa “ indicare” “ proporre” “incaricare” “investire” una persona per un determinato ufficio o attività. Inoltre giova all’uopo evidenziare che il regolamento europeo non prevede espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR).
Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo significa che, se in teoria è possibile che un incaricato sia un soggetto esterno alla P.A. , nella pratica risulterebbe difficile, se non impossibile escluderlo per il trattamento interno sotto la direzione e vigilanza del titolare o del Responsabile interno al trattamento dei dati personali. L’autorizzato (o l’incaricato o il designato) può operare alle dipendenze del titolare, ma anche del responsabile e ovviamente gli autorizzati (o gli incaricati o i designati) possono essere organizzati con diversi livelli di delega.
Com’è di palmare evidenza, quindi, in ragione anche della difficoltà della traduzione dei testi della UE, non scritti in lingua Italiana, il termine di “designato” è equivalente a quello di ” incaricato” ovvero di soggetto “autorizzato” al trattamento dei dati. Sarebbe assurdo cioè, sotto il profilo del diritto avere un soggetto autorizzato al trattamento dei dati che non sia anche designato al trattamento stesso ovvero incaricato alla relativa attività di trattamento dei dati. Quello che è, invece, il punto fisso e che tutti questi soggetti, a prescindere dalla loro denominazione devono agire in base alle direttive del titolare del trattamento o del responsabile del trattamento.
E venendo, quindi, alla questione in premessa ossia dell’esistenza o meno della figura del responsabile interno al trattamento dei dati personali si rileva che il nuovo Regolamento generale sulla protezione dei dati 2016/679 non ha innovato le definizioni di titolare e di responsabile del trattamento rispetto alla precedente direttiva 95/45/CE che ha abrogato, poiché titolare (“controller”) era – ed è – definito nella direttiva come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali (.…)”; mentre il Responsabile (“processor”) invece era – ed è – indicato come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del titolare”., la questione che è stata posta è se, in ragione della novella intervenuta con il D. Lgs.101/2018, sia venuta meno, con l’abrogazione dell’art. 29 del Codice Privacy, la distinzione tra responsabile interno ed esterno al trattamento dei dati per conto del titolare. Orbene, posto che alla stregua della norma primaria vigente il Responsabile al trattamento elabora dati personali per conto del titolare del trattamento sotto il profilo della definizione e delle attribuzioni delle due figure, nessuna innovazione è stata apportata dal GDPR rispetto alla direttiva 95/45 abrogata.

Il ruolo del responsabile del trattamento

Ciò che rileva è che nel vigente GDPR gli adempimenti del titolare non sono più una tantum e formali ma gli stessi nei limiti e parametri del Regolamento, saranno un work in progress mediante l’adozione di misure che riterrà più opportune per il conseguimento degli obiettivi di trattamento lecito e sicuro dei dati personali. Il nuovo impianto del GDPR tocca, infatti, direttamente il ruolo del responsabile del trattamento, la cui nomina è obbligatoria e non più facoltativa, in ragione del fatto che la privacy in work in progress, pone continuamente nuovi compiti e in definitiva lo porta a condividere con il titolare le responsabilità in ordine al risarcimento del danno a terzi, e ad essere soggetto direttamente sanzionabile, diversamente dal sistema precedente ove la sanzione amministrativa era diretta esclusivamente contro il titolare.
In merito alla distinzione soccorre l’interpretazione prevalente in forza della quale si ritiene che il GDPR non qualifica nello specifico all’art. 28 il responsabile come responsabile interno al trattamento dei dati personali, sicché occorre verificare se tale qualifica possa configurarsi sulla base dell’interpretazione delle norme introdotte con il GDPR o da altre norme. L’art. 28 del regolamento UE 2016/679 prevede al primo comma quali debbano essere i requisiti soggettivi del responsabile del trattamento che vengono individuati nelle “garanzie sufficienti” per mettere in atto le misure tecniche ed organizzative adeguate nonché garantire la tutela dei diritti dell’interessato. Al considerando 81 del Regolamento, poi, per garanzie effettive devono intendersi la conoscenza specialistica, l’affidabilità e le risorse necessarie per mettere in atto le misure tecniche e organizzative. In tale quadro normativo il responsabile trattamento dati, sia esso interno all’organizzazione che esterno, deve garantire la conoscenza specialistica, partecipando ad esempio ai corsi organizzati dal DPO, mentre l’affidabilità va valutata in relazione alle mansioni e allo stato di servizio del dipendente della P.A.
Il Codice Privacy nella sua formulazione originaria all’art. 29 (ora abrogato) prevedeva con chiarezza nell’ambito soggettivo la posizione del Responsabile interno al trattamento, il quale non agiva solo per conto del Titolare, ma veniva da questi preposto al trattamento con facoltà di sostituirlo nelle scelte, sia all’interno e sia all’esterno dell’organizzazione di riferimento; doveva pertanto essere individuato tra soggetti che per esperienza, capacità ed affidabilità, avessero fornito idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Nel nuovo quadro normativo la nomina del responsabile resta disciplinata dalla normativa del GDPR, ora proprio in forza dalla valenza giudica del Regolamento 2016/679, che è norma efficacie ex se diversamente dalla direttiva precedente, la figura del responsabile tanto interno quanto esterno è disciplinata dall’art. 28 del GDPR che definisce il ruolo e le attribuzioni del Responsabile del trattamento dei dati – non introducendo alcuna distinzione tra interno o esterno – e, in relazione ai compiti attribuiti che ne delineano il profilo, racchiude in se, comprendendoli, gli aspetti, le caratteristiche, i compiti e i poteri che accomunano il Responsabile esterno e quello interno.

Volume consigliato

MICHELE Gorga

Scrivi un commento

Accedi per poter inserire un commento