La protezione dei dati personali nelle organizzazioni complesse: necessaria una corretta analisi della distribuzione dei ruoli e delle responsabilità

Pubblicato il

avv.to Fabio Di Resta e avv.to Silvano Sacchi
Avvocato – DPO in ambito ospedaliero e settore pubblico, presidente EPCE, titolare dello studio legale Di Resta Lawyers (www.direstalawyers.eu) – Docente universitario a contratto Università Tor Vergata di Roma
Silvano Sacchi – Of Counsel dello Studio legale Di Resta Lawyers – Docente universitario a contratto Università Niccolò Cusano di Roma
Abstract
La definizione dei ruoli principali, alla luce del quadro normativo attuale in materia di protezione dei dati personali che impone, talvolta scelte organizzative obbligate, necessita sempre di un’attenta analisi, soprattutto al fine di definire correttamente i rapporti tra titolare e responsabile del trattamento e/o tra contitolari. Al di là degli istituti legalmente tipizzati per la regolamentazione della suddivisione delle responsabilità, quali l’accordo di contitolarità e l’accordo del responsabile del trattamento, sussistono casi in cui i dati vengono trattati distintamente ed in maniera indipendente da più soggetti che agiscono quali titolari. Altre volte si verificano situazioni in cui la responsabilità è incerta. La corretta configurazione e la regolamentazione dei rapporti tra i vari soggetti che intervengono nel trattamento dei dati, anche alla luce dei provvedimenti recentemente emanati dalle autorità nazionali, costituisce, quindi, una scelta importante che va sempre inserita in un appropriato impianto di tutela dell’interessato che garantisca, in ogni caso, la conformità normativa.
Introduzione
alla luce delle modifiche complessivamente apportate al D. Lgs. 196/2003 a seguito dell’entrata in vigore del Reg Eu. 2016/679 (GDPR) e della promulgazione del D. Lgs. 101/2018, le figure tipizzate quali soggetti attivi del trattamento dei dati sono il titolare, il responsabile, l’autorizzato ed il referente interno privacy.
Quanto al titolare e responsabile del trattamento, la loro definizione e le conseguenti responsabilità si inquadrano, rispettivamente, in quelle del data controller e del data processor previste dal GDPR. La ripartizione dei compiti tra queste due figure, le cui definizioni sono rese forse con maggior immediatezza, rispetto ai compiti ad esse affidati, dalla scelta semantica operata dal legislatore comunitario, sono rispettivamente: per il primo, di definire le modalità e le finalità del trattamento e, per il secondo, di eseguire il trattamento per conto e secondo le indicazioni ricevute dal titolare.
Vi è da dire che, a seguito dell’entrata in vigore del GDPR, diversamente da quanto previsto in passato dal D. Lgs. 196/2003 e s.m.i., oggi il responsabile è un soggetto necessariamente esterno all’organizzazione del titolare.
In forza dell’indipendenza ed autonomia delle suddette figure, l’art. 26 GDPR disciplina la contitolarità del trattamento prevedendo la necessità di uno specifico accordo tra i contitolari che disciplini i rispettivi obblighi e compiti, regolamentando conseguentemente le responsabilità di ciascuno nei confronti dell’interessato , mentre l’art. 28 GDPR, nel caso di designazione di un responsabile da parte del titolare, impone la formalizzazione tra di essi di uno specifico contratto che disciplini gli stessi argomenti.
Le figure dell’autorizzato e del referente interno privacy sono invece state introdotte nel nostro ordinamento dall’art. 2 quaterdecies del D. Lgs 101/2018, nell’ambito degli spazi di autonomia che il regolamento ha concesso agli stati membri e riguardano l’organizzazione della struttura interna del titolare o del responsabile.
Mentre il soggetto autorizzato parrebbe corrispondere, in buona sostanza, alla vecchia qualifica di incaricato, per quanto concerne il referente interno, si tratta di una funzione inedita per il nostro ordinamento che identifica la persona fisica cui il titolare o il responsabile attribuiscono, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, specifici compiti e funzioni connessi al trattamento dei dati.
Le potenziali criticità insite nella determinazione dei ruoli attivi nell’ambito del trattamento dei dati
La compresenza delle suddette figure, soprattutto nell’ambito di organizzazioni complesse, oltre a poter risultare alle volte farraginosa, può anche avere effetti distorsivi, arrivando, in un certo senso, anche a condizionare la fisionomia all’organizzazione aziendale, soprattutto per quel che concerne il trattamento dei dati svolto all’esterno, ossia con l’ausilio dei responsabili o in situazione di contitolarità.
È, infatti, evidente che se il titolare è chiamato a rispondere, in ogni caso, nei confronti dell’interessato dell’eventuale trattamento illecito dei dati per fatti compiuti sia all’interno che all’esterno della propria organizzazione, questi dovrà avere cura di adottare sistemi e misure organizzative che, ai sensi del GDPR, favoriscano non solo l’effettiva tutela dei dati personali, ma anche la più ampia disclosure, in virtù del principio di accountability.
Da questo punto di vista, le criticità maggiori si colgono certamente per quelle fasi del trattamento dei dati esternalizzate dal titolare, atteso che, invece, per quel che concerne il trattamento ad opera degli autorizzati e del referente interno, il titolare è in grado di determinarne direttamente e sotto il proprio diretto controllo le modalità di svolgimento.
Ciò che è certo è che, in ogni caso, i presidi e le responsabilità poste a carico del titolare ai fini di garantire la legittimità del trattamento dei dati impongono a quest’ultimo l’adozione di misure contrattuali che consentano l’accesso finalizzato al controllo su tutte le fasi del trattamento.
In tale contesto assume, pertanto, rilevanza fondamentale la corretta definizione, tramite accordi ai sensi degli artt. 26 e 28 GDPR, delle rispettive responsabilità delle autonome entità coinvolte nel trattamento dei dati, al fine di poter almeno agire, in via di regresso, nei confronti del contitolare o del responsabile sia per quanto concerne le richieste dell’interessato che le eventuali sanzioni elevate dalle autorità di controllo, in caso di trattamento illegittimo.
Le sanzioni elevate dalle autorità nazionali nel corso del 2019
Sul tema in argomento e, nello specifico, sulle responsabilità del titolare del trattamento, si registrano, nell’ultimo biennio, alcune importanti decisioni assunte dalle autorità nazionali.
Il primo provvedimento degno di nota è quello emesso dal Garante della Privacy italiano in data 13.12.2018 nei confronti di Uber a seguito di un data breach verificatosi nell’autunno del 2016 -e reso noto soltanto a novembre del 2017- che avrebbe coinvolto circa 57 milioni di utenti, interessando dati identificativi e di contatto ed informazioni relative alla localizzazione, all’account e al numero di patente di guida degli utenti.
In tale decisione, il Garante espone di aver rilevato come Uber Italy S.r.l., benché designata quale responsabile del trattamento per gli utenti collocati in Italia, avesse in realtà accesso all’unico data base del gruppo contenente le informazioni anche di soggetti collocati in altri stati e pure al di fuori dello spazio economico europeo.
Lo stesso organo amministrativo ha poi riscontrato la mancata adozione, a livello di gruppo, di misure tecniche ed organizzative uniformi e ravvisato, in tale mancanza, con riferimento alla concreta conformazione della struttura aziendale di gruppo, un rapporto di contitolarità tra Uber S.V. e Uber Technologies Inc. non corrispondente alle informazioni fornite agli interessati, avviando, di conseguenza, il provvedimento sanzionatorio a carico di Uber B.V. e di Uber Technologies Inc.
Un’altra deliberazione degna di nota è la 449 del febbraio 2019 assunta, sempre dal Garante italiano, al fine di dirimere le incertezze sul ruolo e le responsabilità assunti, ai sensi della normativa privacy, dal consulente del lavoro.
Con detto provvedimento, l’autorità ha chiarito che tale categoria professionale nell’ambito dell’attività di consulenza espletata su incarico dell’assistito -e quindi rispetto al trattamento dei dati dei dipendenti dei clienti- assume il ruolo di responsabile del trattamento, mentre rispetto al trattamento dei dati dei propri clienti, il consulente riveste il ruolo di titolare, in quanto, in questo ambito, esercita un autonomo potere decisionale su finalità e mezzi del trattamento.
Per quanto concerne, invece, i provvedimenti emessi da autorità estere merita senz’altro di essere menzionata la sanzione irrogata nel Regno Unito a carico di Marriot International per oltre 99 milioni di sterline.
Il garante d’oltre manica ha contestato alla nota azienda alberghiera la violazione della normativa privacy, per come riformata a seguito del GDPR, in relazione ad un data breach comunicato nel novembre 2018 ed avvenuto a partire dal 2014, a seguito dell’acquisizione, da parte di Marriot della catena alberghiera Starwood Hotels.
La particolarità del provvedimento, tuttavia, consta nel fatto che l’incidente si sarebbe verificato, almeno in parte, prima che Mariott acquistasse tale azienda.
Ciò nonostante, l’autorità britannica ha sostenuto di dover irrogare la sanzione a carico della società acquirente, in quanto quest’ultima di sarebbe resa colpevole di un’insufficiente due diligence nell’acquisizione di Starwood Hotels, rilevando, in particolare che tale contestazione troverebbe fondamento nel dovere di accountability imposto dal GDPR, da osservarsi anche in fase di acquisizione aziendale; ciò anche e soprattutto tenendo conto che i dati personali costituiscono, nella moderna economia, un asset di valore per l’azienda, per cui l’azienda ha un obbligo legale di garantirne la sicurezza, al pari di ogni altro cespite trasferito.
Considerazione conclusive
Le pronunce analizzate rendono evidente l’impatto potenzialmente dirompente di un’eventuale erronea definizione dei ruoli e delle responsabilità dei soggetti attivi nel trattamento dei dati.
Tale operazione, infatti, da un lato, richiede un’adeguata comprensione della struttura di business e del modello aziendale con riferimento al flusso del trattamento dei dati personali e, dall’altro, impone l’adozione di una corretta architettura dell’impianto aziendale, al fine di garantire la corrispondenza delle procedure aziendali al paradigma normativo delineato dal GDPR.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *