09. Responsabilità esterna del trattamento. Chi attribuisce l’incarico?
ho necessità di chiarire il “ruolo” del “Responsabile del Trattamento”, al fine di individuare il soggetto tenuto alla sottoscrizione del disciplinare con la ditta esterna. Infatti nel comune di XXX il Sindaco, con proprio decreto, ha incaricato i Responsabili di servizio del ruolo di “Responsabili del trattamento”, demandando agli stessi di autorizzare i dipendenti assegnati alla propria area, con proprio atto, al trattamento dei dati, e di sottoscrivere il disciplinare integrativo dei contratti di servizio in essere con soggetti esterni.
Al riguardo vi sono due posizioni differenti in merito, sostenute dalla sottoscritta e dal Responsabile del Servizio Tributi, il quale ritiene dalla lettura dell’art. 28 del Regolamento europeo, e alla luce delle intervenute modifiche di cui al Dlgs 101/2018, il “Responsabile del trattamento” sia solo quello esterno, e che ogni soggetto interno al comune sia un “designato”, e che non si tratti di una questione terminologica o organizzativa (individuare all’interno dell’ente i Responsabili di Trattamento e/o i designati).
Dalla lettura delle norme effettuata dal Responsabile dei Tributi, in particolare il Dlgs n. 101/18 che abroga le disposizioni degli artt. 28/30 del Dlsg 196/03, se all’interno dell’ente tutti i dipendenti, siano Responsabili di Servizio o meno, sono definiti dalla nuova normativa “designati” allo svolgimento delle attività inerenti al trattamento dei dati, non vi sarà un rapporto “a cascata” tra Titolare del trattamento – (che designa) – Responsabile del Trattamento (ovvero Responsabile del Servizio) (che a sua volta designa) e altri dipendenti, ma è il Titolare del trattamento che individua tra i dipendenti, a prescindere dal ruolo, i designati, indicando le loro attribuzioni in materia di trattamento dati… per cui ne consegue che, non essendovi un Responsabile del Trattamento interno, sarà il Titolare che sottoscriverà il disciplinare con la ditta esterna.
La questione in effetti in tal caso non sarebbe solo terminologica, in quanto se il Responsabile è solo quello esterno, o se è invece il “nome” usato anche per il designato interno, comporta differenti conseguenze in ordine a chi ha il potere, ai sensi dell’art. 2 quaterdecies comma 2 del Dlgs 101/18, di “autorizzare le persone che operano sotto la propria autorità” al trattamento dei dati (e quindi incide sui rapporti tra titolare e dipendenti del comune)
Mi avvalgo della Sua collaborazione al fine di chiarire la questione della corretta individuazione del “Responsabile” del trattamento!
La questione da Lei posta riguarda un tema diffuso, tra le pubbliche amministrazioni, che deriva dalla scelta di regolamentare la materia del trattamento dei dati in modo uniforme, sia per le pubbliche amministrazioni, sia per le aziende private, peraltro indipendentemente dalle loro dimensioni, caratteristiche o appartenenza a Stati diversi.
Peraltro, i termini utilizzati nel testo del provvedimento, essendo l’esito di traduzioni dalle versioni originali dei decreti, non possono essere applicati in senso letterale, pretendendo di ricavarne una interpretazione univoca. A ciò si aggiunga la difficoltà di coniugare due diversi sistemi giuridici: quello “continentale” orientato all’affermazione di principi, la cui applicazione è demandata al buon senso e quello “latino” maggiormente prescrittivi e orientato all’applicazione letterale.
Da ciò discende che la regolamentazione operata con il provvedimento europeo ha lo scopo di definire un sistema di regole orientato prevalentemente alla effettività della tutela dei dati, al contenimento dei casi di violazione e all’attribuzione di responsabilità.
Queste ultime, in particolare, nel Regolamento, non sono definite (né potrebbero) in modo puntuale, proprio perché si tratta di un “regolamento generale” che prevede la possibilità che il trattamento o la responsabilità siano affidate, sia a persone fisiche, sia a persone giuridiche.
E’ evidente che se il legislatore europeo avesse voluto dettare un modello unitario avrebbe certamente definito in modo univoco il regime delle responsabilità e degli obblighi connessi in ordine all’attribuzione specifica. E probabilmente avrebbe creato rigidità che non avrebbero consentito la corretta applicazione delle disposizioni o il pieno esercizio consapevole della tutela dei dati.
Certamente l’impianto dettato dal Regolamento generale prevede il “titolare del trattamento” e uno o più “responsabili”.
Al primo corrisponde quanto disciplinato dall’articolo 4, che al punto 7 reca: «titolare del trattamento»: [è] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
L’ultimo periodo, in particolare. prevede che gli Stati, qualora si tratti di esercizio di funzioni pubbliche, provvedano alla emanazione di “criteri specifici applicabili alla sua designazione”. Questa espressione potrebbe fare ritenere che sia necessaria una integrazione normativa, che nel nostro Paese non è stata emanata, proprio allo scopo di specificare le modalità utili alla “designazione” del Titolare. Anche l’espressione utilizzata “designazione” conferma che il termine non deve essere inteso in modo tassativo (come talvolta accade), come investitura dall’alto, ma come “individuazione” in ragione del ruolo rivestito.
Il riferimento comune alla “persona fisica o giuridica”, inoltre ha lo scopo di fare rientrare nella stessa disciplina qualsiasi tipo di soggetto che operi mediante il trattamento di dati. E’ evidente, però che, poiché la responsabilità è personale, ciò dovrà comunque ricondursi a un soggetto che possa “rispondere” in senso giuridico, del rispetto degli obblighi. Per questa ragione appare convincente la scelta di ritenere, nel caso dei Comuni, titolare, l’Ente locale, nella persona del sindaco pro-tempore.
Ma questo modello organizzativo delle responsabilità deve essere coniugato, inevitabilmente, con il sistema amministrativo vigente in ciascun Paese. Nel nostro Paese, infatti, il Sindaco, pur essendo “rappresentante legale” dell’ente, non ha alcun potere di natura gestionale, né può essere parte in atti di natura negoziale, fatta eccezione per le convenzioni con altre pubbliche amministrazioni, poiché tali atti sono considerati provvedimenti di natura politica.
Il sistema amministrativo delle autonomie locali prevede, infatti, la compresenza di un vertice politico a cui compete la funzione di indirizzo e organizzazione attraverso la designazione dei titolari dei vertici amministrativi ai quali compete l’emanazione di ogni atto che abbia natura dispositiva e di stipula degli atti aventi natura negoziale.
Da ciò consegue che, con riferimento al Regolamento generale, potrebbero configurarsi diversi modelli organizzativi
- A) titolarità del trattamento attribuita al Comune nella persona del Sindaco pro tempore, a cui compete la designazione dei Responsabili del trattamento
- B) Titolarità del trattamento all’ente, nel suo complesso, di volta in volta esercitata in relazione al ruolo e alle funzioni attribuite
La prima ipotesi, a mio avviso, maggiormente rispondente al sistema amministrativo vigente, consente al titolare (Sindaco) di provvedere alla individuazione dei Responsabili del trattamento e all’adozione degli atti organizzativi necessari ad assicurare il regolare trattamento dei dati.
La seconda ipotesi, a mio avviso, può essere foriera di confusioni e comunque richiederebbe l’intervento del vertice politico a cui compete sia la definizione dell’organizzazione, sia della individuazione dei titolari delle strutture apicali. In questo caso verrebbe da chiedersi come si potrebbe configurare il vertice politico (supertitolare?).
Si ha anche notizia di un terzo modello per i quale il Comune sarebbe Titolare del trattamento, come persona giuridica, i Responsabili, soltanto dei soggetti “designati” al trattamento e la Responsabilità sarebbe attribuita a soggetti esterni all’ente.
Su quest’ultima ipotesi preferisco non soffermarmi poiché non ne colgo, né le ragioni, né l’utilità.
Anche la Responsabilità del trattamento ha generato diversità di vedute che hanno portato all’adozione di altrettanti modelli organizzativi.
Al riguardo premetto che, a mio avviso, la diversità di modelli da adottare non è da ritenersi un limite del provvedimento, ma al contrario un’opportunità concessa a ciascun “titolare” di configurare il proprio sistema, purché ciò assicuri la piena tutela delle persone fisiche con riferimento al trattamento dei dati e la sicura definizione dei ruoli e delle responsabilità.
A mio avviso, il modello maggiormente calzante con il sistema amministrativo italiano è quello che preveda due diversi tipi di responsabilità del trattamento dei dati: interna ed esterna. Laddove la prima riguarda i soggetti che, così come recita il GDPR all’articolo 4, nel punto 8, “tratta dati personali per conto del titolare del trattamento” (cioè dell’Amministrazione dalla quale dipende) e all’articolo 28, “mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Nei casi in cui, invece, il trattamento dei dati sia affidato a un soggetto esterno, si rende necessario che l’ente attribuisca tale funzione a quest’ultimo, relativamente alle fasi del processo e ai dati che vengono trattati per conto dell’ente.
Tale attribuzione di responsabilità, evidentemente, a differenza delle responsabilità di tipo “interno”, rientra in un rapporto contrattuale, non autoritativo, in ragione del fatto che qualunque affidamento di servizi rientra tra le attività previste dall’art. 1, comma 1-bis della legge 241/1990, a meno che non si tratti di attività disposte a seguiti di atti ordinatori.
Da ciò si evince, in piena conformità con l’ordinamento vigente, che l’attribuzione di responsabilità all’esterno, configurandosi come obbligo di tipo adempimentale, connesso alla prestazione affidata, deve risultare all’interno delle disposizioni contrattuali, la cui sottoscrizioni è affidata, inevitabilmente al soggetto che nel nostro ordinamento ha tale potere negoziale.
Peraltro, se può essere utile, lo stesso modello si applica anche nel contesto privato dove non possono certamente configurarsi ipotesi di tipo autoritativo e ogni responsabilità deriva esclusivamente da un rapporto contrattuale, la cui stipula è esercitata, di volta in volta, dal soggetto autorizzato alla conclusione dello stesso contratto a cui si riferisce la fornitura.
Ritornando al Comune di XXX, ritengo doveroso precisare che l’Ente ha già definito il modello di organizzazione del trattamento dei dati, con atto regolamentare che, rappresenta una fonte normativa di secondo grado. Da ciò discende che, pur nel rispetto delle diverse opinioni degli operatori, non è assolutamente consentito disattendere le disposizioni ivi contenute, soprattutto se ciò può comportare la disapplicazione di disposizioni la cui mancata attuazione può arrecare pregiudizio all’ente e alla tutela dei dati personali.
Laddove, in futuro, sorgano nuove questioni interpretative, nel rispetto delle posizioni che possa emergere, suggerisco di invitare, innanzitutto all’applicazione delle norme vigenti, rimandando a un secondo tempo la eventuale trattazione in materia dottrinale, sia per assicurare la certezza delle norme da applicare, sia per evitale l’insorgere di conflitti di posizione ideologica sull’applicazione delle norme.
Sia chiaro che, qualora il Garante per la protezione dei dati personali esprima un avviso diverso da quello da me esposto, sarà mia cura adeguarmi prontamente e conseguentemente informarla.