Contributo pubblicato su:
I Soggetti che Trattano Dati Personali A.B. 2019
I soggetti che trattano dati personali
Autorizzati e designati. Altri organismi, cenni
Il personale dipendente in azienda
E’ ormai noto come il Regolamento Europeo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nr. 679/2016 abbia posto al centro del proprio sistema regolatorio la responsabilizzazione degli operatori economici: già l’art. 5, p. 2, in tema di principi statuisce in modo estremamente chiaro che il titolare del trattamento è competente in relazione al necessario rispetto di tali principi ed “è in grado di comprovarlo.”
La governance aziendale, anche in tema di sicurezza, conosce da tempo policy, regolamenti e procedure che, da un lato, sono certamente tese a formare, istruire e preparare le persone che lavorano in azienda ma, dall’altro, servono anche a documentare la consapevolezza e il concreto adeguamento normativo[1].
E’ evidente che, in generale, in un’azienda, il personale dipendente che a vario titolo ponga in essere operazioni di trattamento di dati personali debba, in qualche modo, essere “inquadrato” nell’ambito di ruoli e funzioni che consentano, anche nell’ottica dell’accountability, di dare conto delle scelte effettuate dal titolare.
Mentre l’art. 4, c. 1, lett. h) del Codice Privacy del 2003, oggi abrogato a seguito delle disposizioni contenute nel D.Lgs. 101/2018, contemplava espressamente la presenza e insieme la necessità di individuare, autorizzare e istruire gli “incaricati”, ossia le “persone fisiche autorizzate a compiere operazioni di trattamento”, la formulazione dell’art. 29 del Reg. Europeo nr. 679/2016, a mente del quale “il responsabile o chiunque agisca sotto la sua autorità o sotto quella del titolare … che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso … salvo lo richieda il diritto dell’unione o degli Stati membri”, aveva fatto sorgere alcuni dubbi sulla compatibilità della menzionata figura degli “incaricati” con il nuovo testo europeo[2].
Tuttavia, proprio la lettura del menzionato art. 29 porta a ritenere che chiunque possa accedere ai dati personali (trattati dal titolare o dal responsabile) debba essere specificamente autorizzato e, come subito vedremo, adeguatamente istruito.
L’art. 32, 4., in tema di sicurezza del trattamento, conferma infatti a chiare lettere che il titolare e il responsabile del trattamento devono far ‘sì “che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali non tratti tali dati se non è istruito in tal senso…”.
Le indicazioni della pratica e della dottrina sono dunque nel senso della piena compatibilità di quanto già previsto dall’abrogato art. 30, c. 2, C.P., che prevedeva la necessità di procedere a una designazione effettuata per iscritto, che individuasse adeguatamente l’ambito del trattamento consentito, con quanto previsto oggi dal GDPR e dal Decreto di adeguamento.
Con l’entrata in vigore, lo scorso settembre 2018, delle disposizioni di adeguamento del C.P. di cui al D.Lgs. 101/208 e, in particolare, con l’introduzione dell’art. 2 – quaterdecies nel D.Lgs. 196/2003, che prevede l’attribuzione “di funzioni e compiti a soggetti designati”, gli eventuali dubbi in ordine alla possibilità (o meglio: necessità) di individuare specificamente i soggetti autorizzati al trattamento dei dati personali e di fornire loro specifiche istruzioni, sono svaniti.
Sebbene tale ultimo intervento possa essere considerato, non senza ragione, da alcuni, “naiv”[3], esso contribuisce nondimeno a legittimare uno spazio di libertà e a instillare momenti di auto – responsabilizzazione nella predisposizione (anche ai fini della conseguente dimostrazione), di modelli di governance della protezione dei dati che siano quanto più possibile aderenti alla natura, all’oggetto, al contesto e alle finalità, per riprendere concetti più volte espressi nel GDPR, concretamente presenti o perseguiti nelle specifiche realtà aziendali, produttive, commerciali.
Il dettagliato conferimento di autorizzazioni al diverso personale coinvolto nelle varie fasi e nei flussi dei trattamenti e la predisposizione di specifiche istruzioni in relazione alle concrete operazioni eseguite dai dipendenti consentirà dunque, come accennato inizialmente, sia di preparare e formare adeguatamente il personale in relazione alle problematiche nascenti dal trattamento di dati personali, ma anche di accrescerne la consapevolezza su un tema che è oggi di rilevante importanza: il necessario passo avanti nella cultura della protezione dei dati personali in relazione alla tutela delle persone fisiche parte infatti, come rilevato dai più autorevoli studiosi, anche dai singoli e dalle modalità mediante le quali esse vi si approcciano.
Appare dunque, in definitiva, necessario che siano predisposte, per iscritto, specifiche autorizzazioni per le persone fisiche autorizzate dal titolare o dal responsabile al trattamento di dati personali. Necessario, altresì, che tali soggetti vengano adeguatamente istruiti e, laddove necessario, periodicamente aggiornati: per quanto abrogate, le note “Misure minime di sicurezza” di cui al D.Lgs. 196/2003, risultano ancora oggi, con i dovuti aggiornamenti, assai utili; sessioni ulteriori e/o periodiche di formazione sono vivamente suggerite dagli esperti[4].
Altri Organismi aziendali
Non è questa la sede per affrontare tematiche di governance e assetti organizzativi delle imprese. Vale però la pena accennare brevemente alla questione dell’Organismo di Vigilanza di cui alla L. 231/2001 (OdV) e al relativo inquadramento privacy.
Sostanzialmente, la “scomparsa” della figura del “responsabile interno” avvenuta con l’emanazione del GDPR, ha portato la dottrina ad interrogarsi, posta la non percorribilità della designazione dell’OdV come responsabile “esterno” a motivo della espressa previsione legislativa di non collocabilità esterna di tale organismo, sul relativo possibile nuovo “posizionamento”.
La questione non è di poco conto, riflettendosi, nella pratica, su una serie di questioni e correlati adempimenti (predisposizione delle informative, tenuta del registro delle attività, riscontro alle richieste degli interessati, ad esempio).
Basti qui rilevare che le teorie che si “contendono” il campo possono essere riassunte in quella che vede l’OdV come autonomo titolare del trattamento, in quanto esercitante un potere decisionale del tutto autonomo sulle finalità e sulle modalità di trattamento, ivi compreso il profilo della sicurezza”[5]. Su altro versante, l’Associazione dei componenti degli Organismi di Vigilanza, con il noto documento sulla qualificazione soggettiva dell’Organismo del marzo 2019, sottolinea come, sostanzialmente, l’Organo altro non sia che l’ente stesso per il quale opera, operando una sorta di immedesimazione organica dei suoi componenti[6]. Altri, infine, sul rilievo che la disciplina privacy “mira a proteggere effettivamente gli interessati e a vincolare efficacemente i soggetti attivi del trattamento”, sono più persuasi a qualificare i componenti dell’OdV, come “qualsiasi organo sociale”, in veste di soggetti da debitamente e, nel caso dell’OdV con alcune specifiche cautele, autorizzare[7].
[1] Si veda G. Ziccardi, GDPR e set di istruzioni per i soggetti che trattano dati: l’uso degli strumenti informatici, la gestione di possibili data breach e la protezione dal phishing, in Diritto di Internet, 1/2019, pagg. 223 e ss., Pacini Giuridica.
[2] V. A. D’Ottavio, Ruoli e funzioni privacy principali ai sensi del regolamento: Cap. VI, in Circolazione e Protezione dei Dati personali, tra Libertà e Regole del Mercato, Commentario al Reg. Eu n. 679/206, a cura di R. Panetta, Giuffré Francis Lefebvre, 2019, in particolare pagg. 178 e ss..
[3] Codice Privacy: tutte le novità del d.lgs. 101/2018, L. Bolognini ed E. Pelino, in Officina del Diritto, Il Civilista, Giuffrè Francis Lefebvre, pagg. 77 e ss., in parte richiamato anche in Codice della Disciplina Privacy, diretto dai medesimi Autori, Giuffrè Francis Lefebvre, 2019, pag. 224.
[4] V. G. Ziccardi, nota 1.
[5] V., ad esempio: Whistleblowing e Privacy: come trattare i dati “soffiati”, a cura di R. Imperiali, all’indirizzo: https://www.aodv231.it/images/atti/whistleblowing_070311.pdf.
[6] V. il documento citato, redatto dall’Avv. Antonetto con la consulenza del Prof. F. Pizzetti, all’indirizzo: https://www.aodv231.it/documentazione_descrizione.php?id=3093&sheet=&sez=4&Sulla-qualificazione-soggettiva-dell-Organismo-di-Vigilanza-ai-fini-privacy.
[7] L. Bolognini, in Codice della Disciplina Privacy, diretto dai medesimi Autori, Giuffrè Francis Lefebvre, 2019, pag. 224, cit..