Gio19092019

Ultimo aggiornamento06:43:53

Outsourcing: il nuovo obbligo di nomina dei Responsabili Esterni previsto dal Garante

  • PDF

Nell’ultimo anno abbiamo assistito al nuovo orientamento del Garante per la Protezione dei Dati Personali  secondo il quale in tutti i casi di ousourcing informatico o promozionale si renderebbe necessaria (o meglio obbligatoria) la designazione dei Responsabili Esterni del Trattamento.

Credo fortemente che tale nuova procedura – da qualificarsi come vera e propria inversione di rotta vista la natura facoltativa prevista dal Codice Privacy della nomina dei Responsabili - debba essere pienamente conosciuta da coloro che offrono professionalmente servizi in outsourcing, come i fornitori di servizi informatici, i call center, le società di marketing e di pubbliche relazione.

Gli outsourcer, gli agenti e i call center devono sapere come fronteggiare le conseguenze che una designazione reale comporta, considerato che fino ad oggi le nomine di responsabili esterni sono state per lo più fittizie, nel senso che nella maggioranza dei casi si sono limitate alla formulazione con conseguente accettazione dell’atto e delle istruzioni. Ma nella pratica pochissimi titolari e responsabili andavano effettivamente a svolgere tutti i compiti che sono propri di questi ruoli. Compiti che come sappiamo non si fermano alla formale designazione ma che comprendono le attività di formazione, il conferimento delle istruzioni, gli obblighi di verifica periodica, la rendicontazione delle attività al Titolare, ecc.

Ma cerchiamo di approfondire le reali intenzioni del Garante.

Nell’arco del 2011 sono stati emanati diversi provvedimenti che hanno espresso l’orientamento sopra esposto, tra i quali il più significativo è quello concernente le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011 [doc. web n. 1813953] il quale ha precisato che le società esterne alle banche che gestiscono in outsourcing i sistemi informativi contenenti i dati della clientela devono essere effettivamente considerate non già titolari, bensì responsabili del trattamento dei medesimi dati quando, in concreto, le banche mantengono i poteri che il Codice attribuisce in esclusiva, appunto, al titolare (quali, ad esempio, l'assunzione di decisioni relative alle finalità del trattamento, l'imposizione di istruzioni e direttive vincolanti e lo svolgimento di funzioni di controllo).

Si tratta di un Provvedimento di ampio respiro che mira a fornire prescrizioni in relazione al trattamento di dati personali della clientela effettuato dai soggetti bancari al fine di garantire il rispetto dei princìpi in materia di protezione dei dai personali ai sensi del d.lg. 30 giugno 2003, n. 196 in ordine ai temi della "circolazione" delle informazioni riferite ai clienti in ambito bancario e della "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che comportano movimentazione di denaro, sia quelle di sola consultazione, c.d. inquiry).

Ho anticipatamente sostenuto che quella del Garante costituirebbe un inversione di rotta rispetto  a quanto previsto dalla legge, considerato che l’art. 29 del Codice Privacy dedicato al Responsabile del Trattamento stabilisce che:

Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle proprie istruzioni.

E quindi pacifico che in origine o meglio ai sensi del Codice Privacy nessun titolare era mai stato obbligato a nominare i responsabili.

Oggi non è più così.

Un altro provvedimento che sembra accogliere in pieno tale orientamento è quello relativo alla Titolaritá del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivitá promozionali pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011 [doc. web n. 1821257] il quale ha affermato che le società e gli agenti che svolgano attività promozionali per conto di Titolari difficilmente potranno assumere anch’essi detto ruolo dovendosi qualificare invece come responsabili esterni del trattamento.

Il Provvedimento considera che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono … le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza", e che deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti.

Tra questi, innanzitutto:

- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;

- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;

- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.

Ancora più interessante, soprattutto perché spesso citato dal Garante a fondamento delle sue recenti tesi, il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf), che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (doc web n. 432175), le nozioni di responsabile e di incaricato del trattamento (che corrispondono in Italia al Titolare e al Responsabile) specificando, tra l'altro, che ai fini dell'individuazione della titolarità concretamente esercitata occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità

Non si dimentichi che tali Pareri generali emanati dai Garanti Europei forniscono delle linee guida in quelle materie che gli stessi ritengono degne di chiarimento, perché oggetto di numerosi segnalazioni o reclami nell’ambito dei Paesi Membri o quando negli stessi ci sia grande differenziazione nell’applicazione. Io personalmente ritengo che tali Pareri debbano essere costantemente tenuti d’occhio perché obbiettivamente sono da considerarsi estremamente “avanti” nel senso che da lì a poco si trasformano sempre in qualcosa di realmente efficace anche in ambito nazionale. Diventano cioè o Provvedimenti Generali dell’Autorità italiana o comunque costituiscono la base delle nuove decisioni in sede amministrativa.

Si consideri poi che nella medesima direzione è il contenuto del Comunicato Stampa del 5 luglio 2011 : “Offerte commerciali indesiderate: clienti più tutelati anche in caso di outsourcing” in cui l’Autorità dichiara che dalle verifiche compiute è emerso che molte aziende, anche di grandi dimensioni, si avvalgono di società in outsourcing per le attività promozionali, ma definiscono esse stesse gli obiettivi, le strategie commerciali, le istruzioni operative e la modulistica necessaria.

Di conseguenza, continua il Garante, in questi casi, i soggetti che operano in outsourcing non possono in alcun modo essere considerati autonomi titolari del trattamento, rimanendo tale titolarità in capo alle società committenti che rispondono di ogni illecito eventualmente commesso, nonché della mancata nomina quali responsabili delle aziende affidatarie dei servizi.

In tale provvedimento, il Garante ha dunque prescritto alle società che commissionano all’esterno l’attività di promozione ma ne mantengono di fatto il controllo operativo e quindi si configurano come titolari, anche l’obbligo di designare formalmente responsabili del trattamento i promoter di cui si avvalgono.

Le prescrizioni imposte dal Garante consentiranno presumibilmente di identificare con certezza gli autori di eventuali illeciti, garantendo maggiore tutela ai cittadini. Le società avranno 60 giorni di tempo per adempiere.

Come si può ben vedere quella che era una facoltà (per i Titolari di nominare e per i Responsabili di accettare o meno) è diventato oggi un obbligo.

La violazione di tale disposizione è sanzionata dall’art. 162 ter che prevede sanzioni fino a 180.000 euro per i Titolari inadempienti.

Occorre anche considerare che in realtà ci sono altri  provvedimenti precedenti  a quelli già evidenziati del 2011 di cui quello più significativo è quello del 29 aprile 2009 (doc. web n. 1617709) che, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha fornito criteri per la corretta individuazione delle figure del titolare e del responsabile del trattamento di dati personali;

Tale provvedimento nasceva da numerose segnalazioni nelle quali erano stati portati all'attenzione del Garante disservizi nell'espletamento dell'attività di recapito della corrispondenza da parte di Poste Italiane s.p.a. con particolare riguardo ai seguenti profili:

  • consegna della corrispondenza a indirizzi o in cassette domiciliari erronee;
  • abbandono, smarrimento o danneggiamento della posta (con conseguenti pericoli per l'integrità o sottrazione della corrispondenza).

Nello stesso si evidenziava che non può dubitarsi del fatto che, nel rispetto della disciplina di settore (art. 232, d.lg. 12 aprile 2006, n. 163 "Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE"), l'esternalizzazione da parte della società di compiti connessi all'espletamento del servizio postale (e dei connessi trattamenti finalizzati al recapito della corrispondenza) possa costituire una soluzione organizzativa pienamente legittima anche in base alla disciplina di protezione dei dati personali. Ciò, tuttavia, a condizione che la stessa trovi corretta applicazione e più precisamente, con riguardo alla fattispecie qui esaminata, a condizione che le società appaltatrici –da individuarsi, in ogni caso, tra soggetti che "per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice)– siano previamente designate "responsabili del trattamento" ai sensi dell'art. 29 del Codice (in tal senso, peraltro, proprio con riferimento al trattamento dei dati effettuato nell'ambito del servizio Postel, cfr. già il parere reso dal Garante il 19 dicembre 1998, in www.garanteprivacy.it, doc. web n. 41941; v. pure Provv. 24 gennaio 2003, doc. web n. 1067875; Provv. 16 febbraio 2006, doc. web n. 1242592).

La conclusione della seppur breve e sintetica disamina di tali Provvedimenti è che secondo l’Autorità in presenza di determinati elementi fattuali non solo è necessario,  ma a questo punto addirittura obbligatorio, nominare i soggetti a cui si esternalizzano i dati per diverse finalità (prevalentemente informatiche e promozionali), Responsabili Esterni del trattamento allo scopo di mantenere più forte evidentemente il legame tra il Titolare originale e l’interessato del trattamento, che andrebbe forse perso in caso di stratificazioni non corrette di titolarità.

Ciò che nella teoria sembra comprensibile è invece quantomeno a parere di chi scrive stravagante nei fatti, soprattutto in considerazione che il Codice Privacy ha sempre ritenuto tale designazione una mera facoltà. Facoltà esistente per entrambe le parti, nominante e nominato, i quali se vogliono gli effetti di tale designazione devono mettersi d’accordo, formulare un contratto, non essendo corretta né giuridicamente efficace una investitura unilaterale (prassi invece molto osservata nel corso di questi anni di applicazione di legge).

Quello che dalla dottrina è sempre stato considerato un contratto di mandato è divenuto nella nuova disciplina un atto unilaterale, in pratica una vera e propria investitura a carattere obbligatorio per chi la riceve.

La natura giuridica di questo accordo ridisciplinato dall’Autorità è ora tutto da scoprire…

Articolo a cura di Avv. Monica Gobbato, legale esperto di privacy

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Ultimo aggiornamento Lunedì 30 Luglio 2012 11:59

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:1697

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:7774

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1947

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:2393

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:3046

Leggi tutto

Multe & Sentenze

Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2019 | | Direttore Responsabile: Nicola Bernardi