LA FIGURA DEL RESPONSABILE INTERNO ED ESTERNO TRA CODICE PRIVACY E GDPR

Di Giulia Tenaglia
Quando mancano pochissimi mesi per l’applicabilità del Regolamento Privacy Europeo n. 679/2016 vi è una questione di massima importanza per le imprese sulla quale gli interpreti non trovano soluzioni univoche, vale a dire la sopravvivenza della figura del Responsabile interno del trattamento e la compatibilità di questa figura con quella di Responsabile per la Protezione dei Dati Personali (anche detto Data Protection Officer).
La figura del responsabile interno si è affermata nella prassi italiana nella vigenza della direttiva del 1995 con il fine di ripartire la responsabilità in ordine al rispetto della normativa privacy all’interno dell’organico aziendale. La possibilità di ricorrere alle nomine interne sembra però essere venuta meno con il Regolamento del 2016.
Per esplorare questo tema è opportuno guardare al sistema delle fonti, le quali appaiono tanto stratificate da dar luogo ad importanti incertezze applicative. Il Regolamento Europeo, infatti, è attualmente in vigore, ma sarà definitivamente applicabile solo a partire dal 25 maggio del prossimo anno. Il Regolamento abroga espressamente la direttiva madre del 1995, ma non ha alcun impatto sulle fonti di diritto nazionale quale, appunto il codice privacy, emanato in applicazione della Dir. 95/46. In questo complesso quadro normativo il legislatore con la legge di delegazione europea ha rimesso una delega al Governo per il riordino della disciplina, ma con la successiva legge europea del 20 novembre c.a. è intervenuto modificando solo alcune
disposizioni. In particolare sono stati inseriti i commi 4 bis e 4 ter all’art. 29 riguardanti la figura del
responsabile del trattamento e ex novo l’art. 110 bis in materia di riutilizzo dei dati per finalità di ricerca.
Per quanto attiene la questione, che qui interessa, del responsabile interno ed esterno il codice privacy non ne dà una definizione, contrariamente al Regolamento che al comma 8 dell’art. 4 sancisce come sia
responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Tale definizione appare compatibile con la figura del responsabile per come questa è stata concepita ed attuata in Italia negli anni. Le previsioni ulteriori del medesimo articolo lasciano però lo spazio a numerosi dubbi innanzitutto laddove per la nomina a Responsabile è specificamente richiesto il ricorso ad un contratto vincolante contenente le istruzioni impartite dal titolare. La definizione del contratto in termini di vincolatività implica che il responsabile non possa sottrarsi agli obblighi derivanti dalla nomina se non sciogliendosi contestualmente dal sottostante rapporto civilistico. Specularmente deve ritenersi che non sia possibile rifiutare la nomina a responsabile qualora questa sia necessaria per l’esecuzione dell’obbligazione derivante dal rapporto contrattuale (si veda in questo senso L. Bolognini, Il Regolamento Privacy Europeo, Giuffrè 2017). Inoltre secondo le disposizioni del Regolamento possono procedere alla nomina del Responsabile sia il titolare che altro responsabile previa autorizzazione scritta del titolare stesso (si parla in questo caso di sub Responsabile del trattamento).
In ragione di simili previsioni alcuni autori sostengono che la figura del Responsabile interno non sia
compatibile con l’impostazione del Regolamento. Tuttavia non manca chi sostiene il contrario (in questo
senso Alessandro Del Nino, Il responsabile del trattamento dei dati personali tra Regolamento Generale UE sulla protezione dei dati e Codice della privacy dopo le modifiche introdotte dalla L. 167/2017: responsabile solo esterno, anche interno o entrambi?, Giuffrè – Diritto e Giustizia 2017). Tale filone interpretativo sottolinea come il Regolamento non ponga divieti né espliciti né impliciti alla nomina di responsabili interni ed anzi come la necessità di individuare una figura interna che sia specificamente responsabilizzata in termini privacy derivi dallo stesso principio di accountability sul quale è imperniato l’intero Regolamento.
Altrimenti ragionando “si avrebbe l’assurda conseguenza di una precisa e obbligatoria “disciplina” privacy contrattuale dei mandati, appalti, accordi commerciali tra titolare e fornitori/responsabili esterni, mentre il RGPD consentirebbe ai titolari del trattamento – mentre impone come presupposto e approccio generale l’accountability – di essere legittimamente del tutto sprovvisti e di non documentare misure organizzative interne quale la fondamentale ripartizione interna delle deleghe, dei compiti e delle istruzioni privacy ai responsabili interni” (Alessandro Del Nino, op. cit.)
In un panorama già di per sé sufficientemente complesso, il legislatore dovrebbe agire in modo risoluto per garantire quell’armonizzazione normativa in virtù della quale è stato emanato un Regolamento volto a disciplinare la materia della protezione dei dati personali. Così, diversamente da quanto ad esempio
avvenuto in Germania e Regno Unito in cui i legislatori nazionali sono già intervenuti con complessive
normative di riordino e nonostante la delega generale al Governo per il riordino complessivo della materia contenuta nella legge di delegazione europea per il 2016-17, il legislatore Italiano ha scelto una via mediana
intervenendo su limitate disposizione del Codice. Per quanto attiene la questione della nomina del
responsabile è stato aggiunto all’art. 29 D.lgs n. 196/2003 il comma 4 bis ai sensi del quale “[…] il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2 (capacità e affidabilità). I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.
Per quanto manchi una presa di posizione chiara ed univoca, dalla lettura del testo legislativo emerge come gli “atti giuridici” richiamati ben possano essere adottati tramite deleghe interne all’azienda. Così,
nonostante le difficoltà interpretative rimaste irrisolte, è opportuno cercare una interpretazione
sistematica delle disposizioni di legge poiché l’esclusione della figura del Responsabile interno, anche a
causa dei diversi ruoli e compiti in capo al Responsabile Interno e al Responsabile per la Protezione dei Dati personali, potrebbe determinare un indebolimento nell’organigramma aziendale ed una sostanziale
inottemperanza al principio di accountability, in questo senso è possibile pensare alla permanenza di un
sistema di deleghe privacy a prescindere dal formale riconoscimento come responsabile del trattamento.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL