25 giugno 2019

I possibili ruoli dei soggetti coinvolti nelle attività di trattamento

Michele Cibin


ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it

Bollettino ADAPT 1 luglio 2019, n. 25

 

Il Regolamento (UE) 2016/679 (da qui in avanti GDPR) ha ormai compiuto un anno di vita, eppure vi è ancora molta confusione riguardo a quali ruoli debbano ricoprire e, di conseguenza, quali responsabilità debbano assumersi i vari attori che sono coinvolti nelle attività di trattamento.

 

Nella prassi negoziale si assiste molto spesso al tentativo di ricondurre tutte le attività di trattamento, derivanti da un sottostante rapporto contrattuale, alla combinazione titolare/responsabile. Così facendo, si includono forzatamente in tale schema attività che non sarebbero propriamente riconducibili al ruolo disciplinato dall’art. 28 GDPR.

Si pensi a un contratto di appalto. Qualificare in modo scontato il committente come titolare del trattamento e l’appaltatore come responsabile per tutte le attività derivanti dalle obbligazioni del contratto, comporterebbe dei paradossi. Esemplificativo è il caso della comunicazione al committente dell’elenco del personale dell’appaltatore. Quest’ultimo è certamente titolare dei dati dei propri dipendenti in quanto datore di lavoro. Tali dati verranno poi trasmessi al committente, che è titolare del trattamento dei dati personali che vengono in considerazione nel corso del rapporto contrattuale. Per quest’attività di trattamento, appaltatore e committente pongono in essere un rapporto tra titolari autonomi.

Ma la stessa situazione può presentarsi in altri rapporti giuridici, quali la somministrazione, il distacco di personale ex art. 30 d.lgs. n. 276/2003, etc.

 

Si pensi, ancora, a quanto previsto dalla Circolare n. 1150 – Prot. 7738/U/CIRC del 23 luglio 2018, del Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro. Con questo atto, il C.N.C.L., dopo un’analisi dei vari ruoli disciplinati dal regolamento europeo, ha fermato la consuetudine, posta in essere dai clienti, di nominare i consulenti come responsabili del trattamento. Tale configurazione del rapporto, seppur possibile, comporta un significativo assoggettamento del consulente alle direttive del cliente-titolare. La disamina del Consiglio porta a concludere che il consulente del lavoro, nella sua attività fisiologica di trattamento dei dati personali dei propri clienti e dei loro dipendenti, non potrà che assumere la qualifica di titolare autonomo. È possibile ritenere configurabile, al più, una fattispecie di contitolarità.

Sul punto in questione è intervenuto recentemente anche il Garante per la protezione dei dati personali.

Nel rispondere al quesito sottopostogli dal Consiglio nazionale dei consulenti del lavoro, relativo al ruolo del consulente alla luce del GDPR, il Garante, dopo aver delineato il quadro normativo concernente i ruoli che devono assumere gli attori di un’attività di trattamento, afferma che, nel caso di specie, occorre operare una duplice distinzione. L’Autorità distingue tra: i) l’attività in cui il consulente del lavoro tratta i dati dei propri clienti nella sua qualità di professionista; e ii) quella in cui il medesimo soggetto tratta i dati dei dipendenti del cliente.

Nel primo caso, il consulente del lavoro agisce in piena autonomia, determinando puntualmente le finalità e i mezzi del trattamento. Per tali ragioni, egli ricopre il ruolo di titolare autonomo del trattamento.

Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile del trattamento ex art. 28 GDPR. Il titolare, infatti, è il soggetto che “assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento (UE) 679/2016)”.

Per il Garante, non è pertanto configurabile il rapporto di contitolarità tra datore di lavoro e consulente così come prospettato dal C.N.C.L.

 

Come capire allora quale ruolo dovrà assumere un soggetto nel momento in cui svolge delle attività di trattamento?

 

Non vi è una risposta certa. La normativa in materia di protezione dei dati personali richiede di seguire un criterio funzionale. È pertanto doveroso valutare preliminarmente l’attività di trattamento posta in essere da un soggetto per effetto di un rapporto contrattuale o di eventuali previsioni normative.

 

Schematizzando, possiamo arrivare a individuare tre tipi di rapporti canonici:

 

  • Titolare e Responsabile;
  • Titolare autonomo e Titolare autonomo;
  • Titolare e Contitolare.

 

Innanzitutto, si ritiene utile approfondire la figura del contitolare del trattamento, per via della sua complessa fenomenologia.

Per tal motivo, occorre capire quando si verifica un rapporto di contitolarità. La disposizione normativa di riferimento è data dall’art. 26 GDPR. Al co. 1, esso chiarisce che si ha contitolarità in tutti i casi in cui vi sia una determinazione congiunta delle finalità e dei mezzi del trattamento da parte di due o più titolari ([1][2]). In caso contrario si avrà un rapporto tra titolari autonomi.

 

In tale contesto, la partecipazione delle parti alla determinazione congiunta del trattamento, oggetto della contitolarità, può assumere una molteplicità di forme e combinazioni e non deve essere ripartita necessariamente in modo eguale. Nel suo parere n. 1/2010 – WP169, il Gruppo Articolo 29 ha affermato che, sebbene non sia realizzabile una classificazione esaustiva delle ipotesi di contitolarità, è tuttavia possibile individuare, a titolo esemplificativo, alcuni tipi di relazione che essa assume più di frequente nella prassi:

 

  • Relazioni molto strette. Si hanno quando una pluralità di soggetti condividono tutte le finalità e tutti gli strumenti di un trattamento (contitolarità a pieno titolo);
  • Relazioni più distanti. Si hanno quando una pluralità di soggetti condividono solo le finalità o solo i mezzi del trattamento o solo una parte di essi, restando invece titolari autonomi con riferimento alle finalità esclusive di ciascuno ([3][4]).

 

L’art. 26 GDPR, sempre al comma 1, impone ai contitolari del trattamento di adottare un accordo interno che definisca i rispettivi ruoli e le conseguenti responsabilità rispetto agli obblighi previsti dal Regolamento. Tale accordo dovrà indicare, in particolar modo, il soggetto al quale è deputato l’onere di garantire il rispetto e la tutela dei diritti dell’interessato. La disposizione nulla prevede circa la forma di tale accordo. Tuttavia, la presenza di sanzioni per il mancato perfezionamento dello stesso e la circostanza che esso debba essere messo a disposizione degli interessati suggeriscono di ricorrere alla forma scritta. La mancata adozione di tale accordo espone i contitolari alle sanzioni amministrative pecuniarie indicate dall’art. 83, co. 4, lett. a) del Regolamento.

 

Il co. 2 dell’art. 26, poi, richiede che i contenuti essenziali dell’accordo tra contitolari del trattamento siano resi disponibili all’interessato. In tale contesto, i contitolari dovranno preoccuparsi di fornire precise informazioni circa i ruoli ricoperti nel trattamento congiunto, nonché di rendere le stesse facilmente conoscibili agli interessati. Nulla è disposto per il caso in cui l’accordo interno subisca delle modifiche. Tuttavia, come è stato sottolineato in letteratura facendo leva sull’esempio della informativa, si ritiene conseguenza necessaria di quanto previsto dall’art. 26, co. 2 che, qualora tali modifiche interessino aspetti essenziali dell’accordo esse debbano essere portate a conoscenza degli interessati ([5]).

 

Chiude l’articolo in commento il terzo comma, il quale prevede che gli interessati possano esercitare i loro diritti nei confronti di ciascun titolare. La formulazione di tale disposizione sembra riguardare tanto i diritti riconosciuti agli interessati (artt. da 12 a 22 GDPR) quanto il diritto al risarcimento del danno previsto dall’art. 82, co. 4. Quest’ultimo, infatti, prevede la responsabilità solidale di tutti i titolari per l’intero ammontare del danno, fermo restando che ogni contitolare potrà agire in regresso nei confronti degli altri.

 

Infine, occorre spendere qualche parola sul rapporto tra Titolari autonomi del trattamento. Quest’ultimo non è disciplinato dal regolamento europeo, eppure è più diffuso nella prassi di quanto si pensi. Per richiamare gli esempi precedenti, non è necessario che un appaltatore debba essere nominato responsabile o contitolare per quelle attività in cui, di fatto, determina autonomamente le finalità ed i mezzi del trattamento, assumendosene, di conseguenza, tutte le responsabilità in forza del principio di accountability.

Le zone grigie certamente non mancano. Ma allora quando un soggetto deve essere considerato titolare autonomo o contitolare? Una risposta precisa non c’è. Alla luce delle considerazioni suesposte, la valutazione deve essere fondata sull’analisi dell’attività di trattamento posta in essere per effetto di un rapporto contrattuale o di una previsione normativa. Si avrà così un rapporto tra contitolari quando, previo accordo interno, le finalità e le modalità di uno stesso trattamento sono comunemente gestite dai contitolari, anche se in diversa misura. Si avrà, invece, un rapporto tra titolari autonomi quando si è in presenza di trattamenti che, pur avendo ad oggetto gli stessi dati personali, differiscono per le finalità e le modalità mediante le quali vengono posti in essere. In quest’ultimo caso, nel silenzio della disciplina in materia, sarebbe comunque auspicabile che le parti dichiarassero espressamente (ad esempio, mediante un’apposita clausola contrattuale) il loro ruolo di titolari autonomi. Ciò risulterebbe conforme allo scopo ultimo della normativa in materia di protezione dei dati personali, che richiede ai soggetti di garantire che siano sempre chiari i ruoli e le responsabilità assunti in caso di trattamento.

 

Michele Cibin

Scuola di dottorato in Formazione della persona e mercato del lavoro

Università degli Studi di Bergamo

@mchlcbn

 

([1]) Ciò è conforme alla stessa definizione di titolare del trattamento, fornita dall’art. 4, n. 7 GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

([2]) L’art. 26 del GDPR riproduce in maniera pressoché identica la nozione di contitolare del trattamento contenuta nella dir. 95/46/CE: “Allorché due o più titolari del trattamento determinino congiuntamente le finalità e i mezzi del trattamento, essi sono titolari del trattamento”.   

([3]) Così, “Gruppo Articolo 29, parere n. 1/2010”, pp. 19 – 20.

([4]) Il Gruppo Articolo 29, nel citato parere, precisa anche che, qualora diversi soggetti cooperino all’elaborazione di dati personali, non significa necessariamente che siano sempre contitolari. In effetti uno scambio di dati fra due parti, senza che vi sia una condivisione di finalità o strumenti in un insieme di operazioni comuni, deve essere considerato un semplice trasferimento di dati fra due autonomi titolari del trattamento.

([5]) Sul punto, si veda M.L. Salvati, Commento all’art. 26 GDPR, in AA.VV., G.M. Riccio, G. Scorza, E. Belisario (a cura di), GDPR e Normativa Privacy (Commentario), Ipsoa, 2018, art. 29 GDPR, p. 258 – 262.




PinIt