Titolari o Responsabili?

GDPR : Professionisti al bivio

Nel corso del primo anno di applicazione del Regolamento l’attività interpretativa sull’art.28 è stata rigogliosa. Ripercorriamo le tappe e facciamo il punto della situazione per le più importanti categorie professionali (Consulenti del Lavoro, Commercialisti, Avvocati, Medici del lavoro, disposti in ordine crescente di difficoltà applicativa).

Prima di addentrarsi nella tematica, è opportuno ricordare alcune imprescindibili definizioni che il GDPR ci offre per orientarci in materia.

Ai sensi dell’art. 4 punto 7, il titolare del trattamento è “la persona fisica o giuridica […] che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.

Il responsabile, invece, ai sensi dell’art. 4 punto 8 è “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento”.

Consulenti del Lavoro

Con la circolare n. 1150 del 23 luglio 2018, il Consiglio Nazionale dei Consulenti del Lavoro, richiamando l’articolo 1 della Legge 11 Gennaio 1979, n. 12 (Norme per l’ordinamento della professione di consulente del lavoro), asseriva che: “non possono esservi dubbi sul fatto che il Consulente del lavoro nelle attività di trattamento dei dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di Titolare del trattamento. È possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

Con tale affermazione il Consiglio sosteneva la possibilità di respingere le nomine a responsabili in quanto quello del responsabile esterno “È un ruolo facoltativo, che il Consulente del lavoro può assumere previo nuovo e specifico incarico professionale”.

L’interpretazione data all’interno della citata circolare ha aperto un dibattito fra i professionisti, molti dei quali hanno sottoposto la questione al Garante per la protezione dei dati personali. Lo stesso Consiglio Nazionale dei Consulenti del Lavoro, con la lettera del 24 settembre 2018, chiedeva chiarimenti all’Autorità, con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità.

Il 22 gennaio 2019, pertanto, giungeva la precisazione del Garante, il quale, rispondendo ai numerosi quesiti ricevuti, dava una delle poche interpretazioni ufficiali a nostra disposizione sul tema: i Consulenti sono responsabili quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto; viceversa, sono titolari quando, operando in piena autonomia ed indipendenza, gestiscono i dati dei propri dipendenti di studio o dei clienti persone fisiche (es. liberi professionisti), sostituendosi in toto nel compimento degli adempimenti fiscali e previdenziali. Nel primo caso, la legittimità dei trattamenti operati dal consulente si basa sull’affidamento dell’incarico professionale e sul contratto ai sensi dell’art.28 del Regolamento. Il Garante riconosce al professionista responsabile un apprezzabile margine di autonomia organizzativa, con riguardo all’individuazione e conseguente predisposizione di adeguate misure di sicurezza a tutela dei dati trattati.

Commercialisti

Per quanto riguarda il rapporto cliente – commercialista, non abbiamo interpretazioni ufficiali del Garante ma possiamo affidarci a quanto emerso durante il 2° Forum Nazionale dei Commercialisti ed Esperti Contabili organizzato da ItaliaOggi e tenutosi a Milano il 24-25-26 settembre 2018. Nel corso dell’ultima giornata, la dott.ssa Giovanna Bianchi Clerici, componente dell’Autorità Garante, ha delineato due possibilità: “il professionista contabile è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica”. Questa linea interpretativa risale al parere dei Garanti europei (WP 29) n. 1/2010 del 16/02/2010, che mantiene la sua validità (trasponendo le differenti nomenclature della vecchia direttiva).

Portando come esempio proprio la figura del “contabile”, il WP 29 si era espresso sottolineando che “La qualifica del contabile può variare a seconda del contesto. Quando fornisce servizi ai cittadini e ai piccoli imprenditori sulla base di istruzioni molto generali (“Mi prepari la dichiarazione dei redditi”), il contabile – come gli avvocati, che agiscono in condizioni analoghe e per ragioni comparabili – sarà un responsabile del trattamento(leggi titolare, n.d.r.).

Tuttavia, se lavora per una società, ed è vincolato alle dettagliate istruzioni del contabile interno, per effettuare, ad esempio un audit dettagliato, sarà, se non un dipendente, un incaricato del trattamento (leggi responsabile, n.d.r.), dato che le istruzioni saranno molto chiare e il suo potere discrezionale di conseguenza limitato. Interviene tuttavia una riserva molto importante: quando ritiene di avere scoperto un’irregolarità che è obbligato a segnalare, allora, in virtù degli obblighi professionali cui è tenuto, agisce in modo indipendente in qualità di responsabile (leggi titolare, n.d.r.) del trattamento”.

Gli stessi Garanti europei avevano specificato che, sebbene vi fosse stata in passato una tendenza a far coincidere in generale l’esternalizzazione con la funzione del responsabile del trattamento, oggi le situazioni e le valutazioni sono spesso molto più complesse. La figura del commercialista si sostanzia in un ruolo multiforme tale da implicare, necessariamente, flessibilità gestionale e conseguenti accorgimenti nei rapporti con la clientela.

Avvocati

Anche in questo caso non abbiamo pareri del Garante sulla figura in oggetto. La Commissione privacy del CNF (Consiglio Nazionale Forense), tuttavia, ha predisposto un fascicolo (“Il GDPR e l’avvocato”) per favorire l’adeguamento degli studi e dei professionisti legali al GDPR.
In sintesi, secondo il CNF, “l’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto”.
La contitolarità, “si reputa che nel mondo forense […] possa ravvisarsi in tutti i casi in cui vi sia un mandato a più colleghi che lavorano insieme ed in collaborazione determinando insieme le finalità e le modalità del trattamento”.
Riguardo al ruolo dell’avv.to responsabile esterno, “si reputa che l’avvocato mero domiciliatario, poiché tratta dati personali per conto del dominus mandatario (titolare del trattamento), sia da qualificarsi responsabile ai sensi dell’art. 4 par. 8 del GDPR”. Ancora, “l’avvocato può essere responsabile del trattamento allorquando riceva una domiciliazione da parte di un Collega”.

Il CNF non chiarisce ulteriormente il ruolo dell’avv.to come responsabile ma si limita a dire: “L’Avvocato può anche essere responsabile del trattamento dei dati personali nel momento in cui – ad esempio – gli venga richiesta una consulenza da un soggetto che è titolare del trattamento”.

Completando quanto riportato, si può concludere che l’avv.to può essere titolare (o contitolare) in quanto professionista che ha ricevuto mandato per la difesa in giudizio: in questo caso egli non può configurarsi come responsabile del trattamento perché altrimenti non potrebbe agire in autonomia. Altresì, l’avv.to può figurare anche come responsabile esterno (oltre ai casi in cui sia mero domiciliatario), quando svolge il ruolo di consulente legale d’impresa (es. l’avvocato incaricato di elaborare contratti tra cliente e persone fisiche clienti del cliente o dipendenti del cliente).

Medico del lavoro

La figura del medico competente oscilla più delle altre tra il ruolo di titolare e la posizione di responsabile.

Ai sensi del D.Lgs.626/94 e s.m.i., il datore di lavoro è tenuto a provvedere, nei casi previsti dalla legge, alla nomina di un medico competente, al fine di adempiere agli obblighi in materia di igiene e sicurezza sui luoghi di lavoro.

Ciò presume pertanto un rapporto di gerarchia tra le due figure: è il datore di lavoro (e non il lavoratore) che sceglie il medico competente, che gli affida l’incarico, che lo autorizza a trattare i dati dei dipendenti e che lo paga affinché effettui le prestazioni contrattualmente prestabilite. Una volta nominato il medico competente, nasce quindi il problema di capire a che titolo il medico è autorizzato a trattare i dati del personale dipendente.

Ad una prima disamina della questione, risulta una prevalente predisposizione del legislatore ad imputare doveri e responsabilità in materia di igiene e sicurezza dei luoghi di lavoro in capo al datore di lavoro. Al medico competente risulta conseguentemente affidato il ruolo secondario di collaboratore professionale, con il compito di svolgere attività riservate alla propria categoria per conto del titolare.

Sembrerebbe pertanto banale la qualificazione del medico competente a responsabile esterno e la conseguente nomina per iscritto dello stesso ai sensi degli articoli 28 e 29 del GDPR.

Tuttavia, un diverso filone dottrinale individua il medico competente quale titolare autonomo, in quanto opera con un profilo di tutela sui dati personali basato sulla riservatezza e sul rispetto delle prescrizioni legislative che gli vengono attribuite a prescindere dall’esistenza del Regolamento. Seppure l’incarico provenga dall’esterno, l’attività svolta in questa fattispecie dal professionista non sarebbe etero-determinata. A sostenere questa tesi anche l’ICO (Information Commissioner’s Office, l’Autorità Garante Inglese) che individua come possibile la soluzione del medico competente titolare.


Lo scenario appare sicuramente complesso, i ruoli soggettivi derivanti dalla normativa comunitaria costituiscono un doppio binario e scegliere da quale parte stare non può ridursi ad una breve sentenza: la soluzione deve essere frutto di valutazioni approfondite e ben contestualizzate. L’accountability che permea tutto il Regolamento, anche sotto questo profilo, risulta determinante.

Concludo proponendo un estratto sintetico ma molto esplicativo sulla figura del responsabile (processor), dalla guida al GDPR dell’ICO.

How does this apply in practice?
The definition of a processor can be difficult to apply in the complexity of modern business relationships. In practice, there is a scale of responsibility in how organizations work together to process personal data. The key is to determine each party’s degree of independence in determining how and in what manner the data is processed as well as the degree of control over it.
.

Articolo di
Dott. Federico Corti