GDPR – I Responsabili interni – Nomina SI o NO?
Gli obblighi di nomina del Responsabile.
La nomina del Responsabile del Trattamento illustrata all’articolo 28 del GDPR è una nomina obbligatoria che attribuisce al Responsabile una gran quantità di compiti e oneri. Le indicazioni fornite nell’articolo in questione descrivono perfettamente le caratteristiche del Responsabile esterno del trattamento.
I Responsabili interni e gli incaricati.
In Italia, l’applicazione della normativa Privacy è stata caratterizzata negli anni anche dalla figura del Responsabile interno del trattamento. A questa, il Titolare poteva delegare una serie di responsabilità in merito al trattamento dei dati personali effettuati dall’impresa. Trattandosi di una tipicità italiana, non è strano che il GDPR non ne faccia alcun cenno.
Dal punto di vista della normativa europea, chiunque, all’interno di una organizzazione, effettui operazioni di trattamento è «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare».
Il GDPR non fa alcun riferimento alla necessità di «nominare» formalmente queste persone, tra le quali sono compresi anche gli incaricati (secondo la definizione del Codice Privacy).
In merito alle operazioni di trattamento dei dati personali, tutto quello che avviene dentro un’impresa si colloca nell’ambito del rapporto di lavoro instaurato tra il Titolare e i propri dipendenti e/o collaboratori e fa riferimento alle mansioni assegnate a questi ultimi. Sono ovviamente esclusi fatti di rilevanza penale, per i quali la responsabilità è individuale.
L’accountability del Titolare e le nomine interne.
Il Titolare ha l’obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall’impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. Poiché può essere chiamato a render conto delle proprie scelte, affiderà i compiti – ai propri dipendenti, ai dirigenti e ai collaboratori – in modo consapevole e ragionato.
La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare.
Ad esempio, il direttore dell’Ufficio del Personale di un’impresa è ovviamente responsabile del trattamento dei dati personali effettuato all’interno della direzione organizzativa affidatagli; si tratta di un compito insito nel ruolo svolto e non di un dovere discendente da una nomina scritta.
La nomina dell’articolo 28.
La nomina del Responsabile ai sensi dell’articolo 28 del GDPR può implicare, tra le altre cose, la tenuta di un Registro dei trattamenti o l’implementazione di misure di sicurezza e richiede inoltre, obbligatoriamente, la sottoscrizione di uno specifico contratto.
Ma il contratto tra Titolare e dipendente o tra Titolare e dirigente già esiste. È il contratto di lavoro. Come è possibile pensare che la protezione dei dati personali trattati dal Titolare – ovviamente implicita in qualsiasi contratto di lavoro – possa richiedere un contratto ad hoc? Sarebbe un paradosso.
Per tutto quello che abbiamo detto, l’unica nomina obbligatoria, formalizzata ed espressamente richiamata dalla normativa, è quella relativa alla designazione dei Responsabili esterni del trattamento.
Assegnazione di responsabilità in realtà complesse.
Esistono però realtà più complesse di quelle a cui abbiamo fatto riferimento.
Pensiamo per esempio alle aziende di una Regione, diverse tra loro per ambito e finalità di trattamento (diciamo per mercato di riferimento) in cui le responsabilità sono assegnate e ripartite in funzione degli statuti del singolo ente.
Il Regolamento lascia intravedere la possibilità di trovare valide alternative per dirimere situazioni più complesse. Il criterio della contitolarità, ad esempio, potrebbe in alcune situazioni essere utilmente impiegato per assegnare in modo trasparente le rispettive responsabilità e la titolarità del trattamento (o parte di essa) all’interno di realtà organizzative molto articolate.
Diverse valutazioni sono attualmente in corso. Alcuni Titolari sceglieranno di mantenere in qualche modo una continuità con il passato e «rinfrescheranno» le nomine interne esistenti. Non è questa la sede per approfondire il tema e attendiamo di sapere se fonti autorevoli rilasceranno indicazioni pratiche nel merito.
Si fa presente a questo proposito che la recente legge 167/2017, all’articolo 28, ha modificato l’art. 29 del Codice Privacy e ha stabilito che il Garante predisporrà schemi tipo di atti giuridici che i Titolari potranno adottare per la stipula del rapporto con i responsabili del trattamento.
Si spera che dalla pubblicazione di tali schemi tipo emergano elementi di maggiore chiarezza.
Semplicità e buon senso.
In linea generale, è bene che siano la semplicità e il buonsenso a guidare le scelte dei Titolari.
Incamminarsi in un percorso “formalizzato” senza che ve ne sia un reale motivo produrrà solo un aumento di carta (e di burocrazia interna) e non diminuirà in alcun modo il livello di responsabilità del Titolare in merito ai trattamenti effettuati dall’organizzazione.
Come bisogna comportarsi, quindi, con le attuali nomine dei responsabili interni? Devono essere riviste? Con quali criteri?
Posto che, come abbiamo detto, non ci sono obblighi, ciascuno sceglierà la strada che meglio si adatta alle proprie esigenze.
Conclusioni.
Se un’impresa ritiene di voler aggiornare le nomine interne attualmente esistenti può farlo ma deve considerarle solo un modo per trasmettere informazioni e focalizzare l’attenzione del personale sull’importanza di proteggere i dati personali oggetto di trattamento.
Lo stesso obiettivo, come abbiamo già detto, può essere raggiunto con altri strumenti: la pubblicazione di una politica sulla protezione dei dati personali, un regolamento interno, un disciplinare che fornisce istruzioni e assegna compiti alle funzioni organizzative.
Quello che dev’essere chiaro è che il ruolo del Responsabile esterno è del tutto diverso da quello di un eventuale Responsabile interno: mentre il primo è un’entità – fisica o giuridica – “altra” rispetto al Titolare e da questo autonoma, il secondo ne è diretta emanazione e, in merito al trattamento dei dati personali, è una “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare”.
Se questo è assodato, il Titolare è padrone di scegliere in piena libertà la modalità più adatta per trasmettere le istruzioni al proprio personale.