Decreto legislativo - 30/06/2003 - n. 196 art. 2 quaterdecies - Attribuzione di funzioni e compiti a soggetti designati 1Attribuzione di funzioni e compiti a soggetti designati 1
1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità (A). 2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta. ----------------- (A) In riferimento al presente articolo, vedi: Circolare CNR - Consiglio Nazionale delle Ricerche 13 maggio 2020 n. 11. [1] Articolo inserito dall'articolo 2, comma 1, lettera f), del D.Lgs. 10 agosto 2018, n. 101. InquadramentoUna delle norme meno felici introdotte dal legislatore italiano nel codice privacy, con il d.lgs. n. 101/2018, pare essere l'art. 2-quaterdecies, rubricato «Attribuzione di funzioni e compiti a soggetti designati». In esso si scorge lo scollegamento esperienziale e di competenze tra il giurista astratto, di stampo puramente accademico, e il manager abituato alla gestione organizzativa pratica e alla realizzazione di modelli di conformità concretamente applicabili. Il menzionato articolo, al comma 1, stabilisce che il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Qui si sta, evidentemente, parlando dei soggetti che contribuiranno ad applicare le regole (spesso definiti “contatti” o “antenne” privacy nei quadri di governance e nelle note organizzative interne ad aziende ed enti), cioè quelle persone-chiave che non si limitano ad essere autorizzate a trattare i dati, ma fungono da “neurotrasmettitori” dei segnali di conformità e non conformità tra il centro e la periferia e viceversa. Soggetti che “scaricano a terra e rilanciano in cielo” le regole, applicandole e rilevando eventuali anomalie. Soggetti ben formati e preparati per farlo, pur svolgendo un altro mestiere in via principale. Un motivo di stupore, relativo a questo primo comma, deriva dalla riflessione per cui – come rilevato anche da autorevoli commentatori in fase di audizioni parlamentari, proprio con riferimento all'allora schema di Decreto di adeguamento (in primis il Garante Europeo per la Protezione dei Dati, Giovanni Buttarelli) – appare quanto mai pletorica e ingenua la disposizione per cui sia perfino “ammesso” dal legislatore che il titolare o il responsabile del trattamento possano prevedere, «sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate». Basterebbe rileggere – repetita iuvant – il Regolamento, attardandosi magari un poco fra le righe e le parole del suo art. 5 par. 2, GDPR per capire come il legislatore europeo abbia eliminato formalismi dalla compliance in materia di protezione dei dati personali. Quello che conta, nell'adempiere al Regolamento e per raggiungere un adeguato livello di conformità (cioè di rispetto dei principi e delle altre condizioni di liceità e di adeguatezza delle misure di sicurezza e protezione dei dati personali) è la sostanza, in ossequio al principio di responsabilizzazione (cd. accountability). Orbene, risulterebbe evidente anche al meno esperto dei consulenti che, al fine di assicurare conformità sostanziale ed effettiva alla nuova normativa europea, un titolare o responsabile del trattamento dovrebbe necessariamente dotarsi di un modello di organizzazione, gestione e controllo in materia di protezione dei dati personali, possibilmente integrato con gli altri modelli già in uso. Qui viene il punto: come può implementarsi un modello di questo genere, se non mediante l'assegnazione di compiti e deleghe di funzioni alle persone che lo devono applicare? Il legislatore italiano, in definitiva, ha sentito il bisogno di indicare un'ovvietà. Ovvietà che, come ogni elemento superfluo, si pone peraltro a rischio di malintesi interpretativi. Il secondo comma dell'art. 2-quaterdecies si riferisce invece, specificamente, alle persone autorizzate a trattare dati, e in particolare alle modalità di loro autorizzazione: «Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta». In questo caso, il pensiero dell'interprete corre subito al considerando 29 e all'art. 29 GDRP. Il considerando 29 già prevede che il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all'interno dello stesso titolare del trattamento. L'art. 29 Regolamento stabilisce, inoltre, che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. La stessa definizione di cui al punto 10 dell'art. 4 del Regolamento, relativa alla figura del “Terzo”, contempla a contrario le figure delle «persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile». Infine, è preciso obbligo da inserire nell'atto di designazione del responsabile del trattamento, ex art. 28.3.b) GDPR, che questi garantisca «che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza». Insomma, pare evidente che il Regolamento avesse già normato con chiarezza una materia non suscettibile di ulteriore specificazione nazionale salvo, paradossalmente, per il caso di esclusione o limitazione delle istruzioni, eventualmente previsto dal diritto degli Stati membri o della UE. Precisa, infatti, l'art. 29 del Regolamento che la persona autorizzata «non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri». La salvezza è chiaramente da intendersi con riferimento alla necessità o meno di istruzioni, mentre il legislatore italiano nulla dice sul tema, e si concentra solo su un altro aspetto meramente formale (le opportune modalità di autorizzazione), ribadendo l'ammissibilità di una libera scelta del titolare o del responsabile del trattamento. Libera scelta che nulla toglie e nulla aggiunge, alla luce del principio di responsabilizzazione di cui si è già detto sopra, mirante alla sostanza, efficacia, efficienza ed effettività del modello di conformità al Regolamento, al di là di ogni apparenza o formalismo (Bolognini, Pelino, Codice privacy). Quale ruolo per l'Organismo e Vigilanza e i componenti di organi socialiCon l'avvento del Regolamento, e in particolare del suo articolo 28 in materia di designazione di responsabili del trattamento – dalla cui lettera si evince ormai l'obiettiva impossibilità di qualificare come responsabile un soggetto interno alla struttura del titolare (a differenza di quanto avveniva sotto la previgente disciplina a norma dell'art. 29 ormai abrogato del codice privacy) – ci si è posti il dubbio sul corretto inquadramento di figure, quali i componenti di Organismi di Vigilanza (OdV) e organi sociali, in ottica privacy. Non potendo più considerare l'OdV suscettibile di designazione come responsabile esterno del trattamento, unica strada ammessa dal nuovo art. 28 del Regolamento – cosa che contraddirebbe frontalmente la ratio esplicitata dal legislatore, il quale accompagnò il d.lgs. n. 231/2001 con l'espressa previsione di non collocabilità all'esterno dell'ente di tale organismo (si veda in proposito la relazione accompagnatoria illustrativa al d.lgs. n. 231/2001) – non resta che interrogarsi su altre possibili soluzioni. Una strada, confortata dall'interpretazione di autorevoli studiosi (tra tutti: Rosario e Riccardo Imperiali) è quella che porta a considerare l'OdV come autonomo titolare del trattamento, pur facente parte interna dell'azienda. Tale interpretazione non presenta criticità concettuali e giuridiche particolari (un titolare può ben essere una parte interna di un ente, per esempio un suo organo dotato di autonomia decisionale o a cui si imputi ex lege una qualche funzione autonoma), ma certamente conduce, nella pratica, a comportare una serie di incombenze e di adempimenti, in capo all'OdV, potenzialmente gravosi. Si pensi all'obbligo, per un titolare del trattamento, di rendere l'informativa agli interessati, così come ai numerosi ulteriori adempimenti riferibili al centro di imputazione giuridica titolare del trattamento. Una lettura alternativa del ruolo dell'OdV e dei suoi componenti è quella di chi vede in essi un “organo sociale”, anziché una mera funzione/struttura interna all'azienda. Da questa interpretazione, taluni studiosi (tra gli altri, Antonetto e Pizzetti in un articolo intitolato “Sulla qualificazione soggettiva dell'Organismo di Vigilanza ai fini privacy”, pubblicato dall'Associazione dei Componenti degli Organismi di Vigilanza exd.lgs. n. 231/2001 nella primavera del 2019) desumono che, semplicemente, l'OdV e i suoi membri “siano” l'ente per il quale svolgono il ruolo, non dovendosi differenziare in chiave privacy all'interno di esso. In sostanza, per un effetto di immedesimazione organica dei componenti e dell'organismo stesso nell'ente, ogni qualificazione giuridica in materia di protezione di dati personali dei medesimi soggetti si porrebbe come superflua, poiché essi “sono” il titolare o responsabile sul quale vigilano. La suggestiva ricostruzione teorica, sopra sinteticamente richiamata e interpretata dallo scrivente, appare tuttavia del tutto incondivisibile. Non solo non convince l'inquadramento dell'OdV come organo sociale, anziché come funzione/struttura interna, ma, anche ove si volesse sposare la teoria dell'OdV-organo sociale, al pari di un consiglio di amministrazione o di un collegio sindacale, la strada semplificatoria del “non-ruolo privacy per immedesimazione organica” non reggerebbe alla prova dello spirito generale del Regolamento e del principio di responsabilizzazione in esso scolpito. Come evidente, la normativa in materia di protezione dei dati personali si pone l'obiettivo della tutela sostanziale dei diritti e delle libertà delle persone fisiche, con riguardo al trattamento di informazioni a loro riferibili, e dunque della difesa, ancora, sostanziale da pericoli e rischi per tali diritti e libertà. Abbracciare, pur con eleganza di pensiero astratto, la fictio giuridica per la quale una persona che tratta dati di altre persone non debba essere responsabilizzata individualmente all'interno dell'organizzazione dell'ente – e vincolata al rispetto di istruzioni e misure tecniche e organizzative di sicurezza adeguate – equivale a negare che quella persona esista nel mondo anche a prescindere dall'organismo stesso e comporti, quindi, potenziali rischi di deviazione nel trattamento di dati. In altre parole, la disciplina privacy non guarda – come invece la disciplina exd.lgs. n. 231/2001 – unicamente agli illeciti che siano commessi a vantaggio o nell'interesse dell'ente, mentre mira, viceversa, a proteggere effettivamente gli interessati e a vincolare efficacemente i soggetti attivi del trattamento anche rispetto a rischi violativi del tutto estranei al contesto istituzionale, professionale, aziendale nel quale il dato sia originariamente raccolto ed elaborato. Per tale ragione, convince maggiormente la strada di un'autorizzazione di ciascun componente dell'OdV, così come di qualsiasi organo sociale, a trattare i dati per lo svolgimento dei propri compiti. Un'autorizzazione da parte del titolare, ex art. 29 del Regolamento ed ex art. 2-quaterdecies comma 2 del codice privacy, se del caso integrata da alcune espresse previsioni che escludano rischi di compressione dell'autonomia e indipendenza del componente autorizzato a causa delle istruzioni contenute nell'autorizzazione stessa (ad esempio, non dovrebbe essere possibile subordinare, nelle istruzioni contenute in tale autorizzazione, il trattamento di taluni dati da parte dell'OdV, necessari all'esecuzione di controlli tipici del suo ruolo, a previe verifiche e placet del responsabile della protezione dei dati). E infatti questa configurazione è stata confermata dallo stesso Garante per la protezione dei dati personali nel parere sulla qualificazione soggettiva dell'Organismo di Vigilanza, reso nel maggio 2020 a seguito di un'espressa richiesta di chiarimenti presentata dall'Associazione dei Componenti degli Organismi di Vigilanza exd.lgs. n. 231/2001, ove si conferma che “l'OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell'ente”. Il Garante infatti sottolinea che nel caso dell'OdV i compiti di iniziativa e controllo, per quanto siano svolti in autonomia, non sono determinati dall'Organismo bensì dalla legge e dal vertice aziendale, mediante il Modello di Organizzazione, gestione e controllo, che ne definisce anche il funzionamento e le risorse. Inoltre l'Odv non ha alcun potere impeditivo o disciplinare nei confronti di eventuali autori di reati, la cui responsabilità rimane in capo all'ente. Pertanto, non può essere considerato un titolare del trattamento. Nel contempo, tuttavia, non può nemmeno essere considerato un responsabile ai sensi dell'art. 28 GDPR, posto che non si tratta di un organismo giuridicamente distinto dal titolare del trattamento, ma è parte dello stesso. Il Garante conclude quindi evidenziando che “Il suo ruolo – che si esplica nell'esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell'ambito dell'organizzazione dell'ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall'OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell'OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall'art. 5 del Regolamento”. Spetterà comunque al titolare del trattamento adottare misure tecniche e organizzative che siano in grado di garantire la protezione dei dati personali trattati e al contempo l'autonomia e indipendenza dell'OdV rispetto ai vertici societari nell'adempimento dei propri compiti (GPDP, p. 5). BibliografiaBolognini, Pelino, Il regolamento privacy europeo: commentario alla nuova disciplina europea sulla protezione dei dati, Milano, 2016; Bolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018. |
