WP 169 RESPONSABILE ED INCARICATO

WP 169 RESPONSABILE ED INCARICATO Prendendo spunto dalle definizioni di cui alla direttiva 94/46/CE, con parere 1/2010 (WP 169) il Gruppo di Lavoro art. 29 si è soffermato sui concetti di Responsabile e di Incaricato del trattamento. RESPONSABILE: ulteriormente a quanto descritto nella definizione, la direttiva attribuisce al Responsabile il compito di garantire il rispetto dei principi fondamentali relativi alla qualità dei dati, in primis quello secondo cui li stessi debbano essere trattati lealmente e lecitamente (e per cui lo stesso Responsabile deve attuare misure tecniche ed organizzative appropriate). E' sullo stesso soggetto che gravano gli obblighi connessi ai diritti dell'interessato e su cui, di conseguenza, gravano altresì gli obblighi risarcitori per eventuali danni da trattamento illecito. Rispondendo dell'osservanza delle norme sulla protezione dei dati, merita poi di essere rammentato come, nel caso in cui sia stabilito in più Stati membri, il Responsabile debba adottare le misure necessarie l'osservanza delle norme stesse da parte di ciascuno degli stabilimenti. Analizzando più nello specifico la definizione normativa comunitaria, ci si soffermerà, ora, sugli elementi che compongono la nozione: - la persona fisica o giuridica, l'autorità pubblica, il sevizio o qualsiasi altro organismo: è evidente l'ampiezza della categoria. Salvo non vi siano elementi chiari che indichino il contrario, nel caso di enti o persone giuridiche, sarebbe preferibile ritenere la struttura stessa nel suo complesso Responsabile, piuttosto che una specifica persona fisica al suo interno; anche qualora sia stato designato un individuo, costui agirà come

rappresentante della struttura medesima (cioè per conto della stessa), o suo referente per gli interessati. - da solo o insieme ad altri: per uno stesso trattamento possono esservi più Responsabili. Sebbene il tenore della disposizione parrebbe lasciar intendere una responsabilità solidale, un approccio più funzionale e sostanziale impone di valutare la partecipazione delle parti alla specifica "determinazione congiunta", in modo da poter ripartire tale responsabilità nella giusta proporzione. In altri termini, è necessario esaminare i vari gradi interazione e di legame tra le parti coinvolte nel trattamento; solo mediante tale modus operandi, è possibile stabilire (specie nei casi in cui i trattamenti della catena operativa parrebbero scollegati tra loro) se due, o più, Responsabili agiscano congiuntamente (ad esempio perché le operazioni di trattamento compiute perseguono una finalità comune, o si avvalgono di strumenti decisi congiuntamente) e siano quindi co-responsabili, rispetto alle fattispecie in cui lo scambio di dati fra due parti esuli da una condivisione di finalità e strumenti e, di conseguenza, imponga di ritenere i due soggetti autonomi e distinti Responsabili. Nel primo caso, poi, tale valutazione sostanziale consente altresì di ripartire correttamente la responsabilità tra le parti in gioco, dal momento che potrebbero doversi occupare di fasi e gradi diversi del trattamento, di guisa tale che uno effettua alcune operazioni, lasciando all'altro le restanti. E' evidente, quindi, che anche la responsabilità connessa alla garanzia verso i diritti dell'interessato, andrebbe analogamente suddivisa a seconda delle rispettive competenze. - determina: concerne il potere di decidere, a prescindere da una specifica competenza o facoltà di controllare i dati conferita per legge; la competenza a decidere si rivela in

funzione degli elementi fattuali o del caso concreto, senza che alcuna differente designazione contrattuale possa impedirne un pieno riconoscimento. Ciò che conta, innanzi tutto, è aver deciso di trattare i dati per fini propri. La responsabilità può derivare dalla legge (anche qualora la norma stessa, senza alcuna designazione espressa, si limiti ad attribuire al soggetto il compito di raccogliere, fornire, conservare o, più generalmente, trattare certi dati), per prassi o disposizioni giuridiche connesse (di tipo civilistico/commerciale/penale/ecc..) spesso collegate al ruolo in un'organizzazione (v. datore di lavoro), ovvero ancora per un'influenza effettiva che emerge nella valutazione della specifica relazione contrattuale fra le parti (dovendosi in tal caso tener conto di tutti gli elementi del caso, anche quelli extracontrattuali). - finalità e strumenti del trattamento: cioè il risultato sperato, che ci si prefigge o che indirizza le azioni, ed il modo con cui si intende ottenere il risultato atteso. Anche in tal caso dovrà essere misurato il livello di influenza effettiva, cioè quanto specificamente occorra determinare tali finalità e strumenti per poter assurgere a Responsabili e, di conseguenza, quale possa essere il margine di autonomia concesso all'incaricato, figura di cui tratteremo in seguito. Per esempio, bisognerà domandarsi se l'incaricato possa dare esecuzione alle istruzioni del Responsabile senza dover necessariamente entrare nel merito delle modalità di utilizzo degli strumenti, o se il soggetto esterno, in assenza di richiesta del Responsabile, avrebbe comunque trattato i dati. V'è però da evidenziare come, rispondere a simili domande (come la prima poc'anzi enucleata), non sempre consenta agevolmente di attribuire il ruolo di Responsabile. In altri termini, laddove la determinazione delle finalità farebbe scattare automaticamente la qualifica in esame, quella degli strumenti implicherebbe un'analisi

ulteriore: e cioè, se per strumenti intendiamo la mera scelta dei mezzi tecnico/organizzativi (che ben può essere delegata all'incaricato, a fronte di finalità ben definite) di cui il Responsabile è pienamente informato, non dovrebbe potersi attribuire il ruolo di Responsabile. Viceversa, se la determinazione dovesse riguardare anche elementi fondamentali connessi allo strumento utilizzato (quali l'individuazione dei dati da trattare, la selezione di quelli da eliminare e la decisione in merito ai tempi di conservazione, i soggetti che possono accedervi, e via dicendo), allora non potrà che riconoscersi tale ruolo. INCARICATO: figura che scaturisce da una libera scelta operativa del Responsabile, che decide di trattare i dati, in tutto o in parte, avvalendosi di una organizzazione esterna cui delegare le relative attività del trattamento. Costui, pertanto, è un soggetto distinto dal Responsabile ed elabora dati per conto di quest'ultimo, con attività limitata a specifici compiti, oppure più generale ed ampia. Pertanto, il ruolo di Incaricato non deriva dalla natura del soggetto che tratta i dati, ma - nello specifico contesto - dalle attività dallo stesso compiute; ciò significa che il soggetto può assumere il ruolo di Responsabile per taluni trattamenti e di Incaricato per altri. Come anzi delineato, l'incaricato dovrà limitarsi ad attuare le istruzioni del Responsabile per quanto concerne le finalità e gli aspetti fondamentali degli strumenti; se oltrepassa tali confini (per esempio elaborando i dati senza una specifica istruzione in tal senso del Responsabile), non potrà che divenire co-responsabile. La delega, quindi, ben potrà essere ampia e comportare un certo grado di discrezionalità, limitandosi però a consentire all'incaricato la scelta dei mezzi tecnico/organizzativi più adatti al perseguimento degli obiettivi del trattamento; a tal fine, la direttiva comunitaria richiede la stesura di un contratto,

o altro atto giuridico vincolante, che disciplini le relazioni fra le due figure (come sopra descritte), con una descrizione dettagliata del mandato attribuito. Infine, il diritto applicabile sarà quello dello Stato membro nel quale è stabilito l'incaricato del trattamento.