Come effettuare l’outsourcing aziendale a norma privacy
Sempre più spesso le imprese si trovano nella posizione di dover esternalizzare funzioni aziendali e questo comporta, in alcuni casi, un trattamento di dati personali “per conto” del titolare ai sensi dell’art. 28 del GDPR. Non sempre però il rapporto cliente – fornitore implica la necessità di una nomina a responsabile e la non corretta qualificazione a fini privacy delle parti può avere conseguenze giuridiche anche molto rilevanti.
L’entrata in vigore del Regolamento Europeo n. 679 del 2016, General Data Protection Regulation – GDPR, il 25 maggio 2018 ha riportato grande attenzione in ambito aziendale sulla tematica del trattamento dati personali e sulle responsabilità del Titolare in materia di privacy. La nuova norma, valida in tutta Europa, ha evidentemente alzato l’asticella degli adempimenti a tutela degli interessati e fornito maggiori garanzie a tutto il sistema economico. Ma l’applicazione pratica del nuovo provvedimento, anche in relazione alla formulazione piuttosto generica in numerosi passaggi, non è stata in questi quasi tre anni sempre priva di dubbi e incertezze. Dubbi che poi, in alcuni casi, come vedremo, hanno avuto anche riflessi operativi rilevanti.
Una delle figure più importanti introdotte dal GDPR è quella del Responsabile del trattamento, definita dall’art. 4 comma 1 punto 8) del provvedimento, che così recita: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare”. Dalla definizione, peraltro molto generica, si desume che sia prevista un’attività di trattamento fatta dal Responsabile al posto del Titolare e su indicazione di quest’ultimo. L’art. 28 del GDPR ne delinea i contorni, affermando che il titolare debba ricorrere a Responsabili che “…presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato”. Il Responsabile per ricorrere ad altri subfornitori nel trattamento dati per conto dei Titolare deve ottenere l’autorizzazione di questo e i rapporti tra Titolare e Responsabile devono essere regolati con apposito contratto redatto in forma scritta. Questo atto giuridico deve stabilire quali siano i trattamento delegati, la loro durata, il tipo di dati personali processati e le categorie di interessati coinvolti, oltre agli obblighi e ai diritti del Titolare.
Il comma 3 dell’art. 28 del GDPR stabilisce altresì che il Responsabile “tratti dati personali soltanto su istruzione documentata del Titolare”, garantisca la riservatezza da parte dei propri addetti, adotti le misure di sicurezza di cui all’art. 32 GDPR e fornisca assistenza al Titolare in caso di richieste da parte dell’interessato o nel caso in cui si verifichi una violazione di dati personali o anche solo gli assicuri supporto per dimostrare il rispetto degli obblighi stabiliti. Naturalmente al termine del contratto il Responsabile dovrà cancellare tutti i dati oggetto del trattamento svolto in vece del Titolare, in quanto sarà venuta meno la ragione del trattamento dati “per conto” di quest’ultimo. La fattispecie così risulta regolata in modo molto accurato e se ne comprende anche la ragione. Il GDPR infatti prevede che, laddove il Titolare intenda esternalizzare un trattamento di dati personali, dovrà verificare l’affidabilità del soggetto a cui si affida, vincolarlo contrattualmente dando precise indicazioni su come tale trattamento in outsourcing dovrà essere effettuato e anche controllare periodicamente che le indicazioni fornite siano rispettate attraverso audit periodici presso il Responsabile. Il quadro normativo mira evidentemente a garantire che le esternalizzazioni di trattamenti avvengano in un regime stringente di controlli e garanzie per gli interessati.
Invero anche il Codice della Privacy (D.Lgs. 196/2003) all’art. 29, oggi abrogato dal D.Lgs. 101/2018, prevedeva la figura del responsabile la cui designazione era però facoltativa e nel merito veniva data solo una generica indicazione sul fatto che questi dovesse operare su indicazioni del Titolare. E’ facile comprendere come i contorni di tale figura fossero diversi, nonostante la denominazione fosse identica. Ed è forse questa omonimia che ha causato negli ultimi due anni un diffuso equivoco applicativo sulla figura del Responsabile come definita dal GDPR. Infatti abbiamo assistito al costume delle nomine “a pioggia” di tutti i fornitori a responsabile anche, molto spesso, in assenza dei requisiti stabiliti dall’art. 28 sulla base di un generico riferimento al fatto che il fornitore di beni o servizi trattasse incidentalmente dati personali di cui il cliente era titolare. Sono stati sottoscritti moltissimi accordi di nomina a Responsabile in situazioni di fatto che invece avrebbero dovuto essere qualificate come titolarità autonoma con rilevanti conseguenze sul piano giuridico, su cui torneremo più avanti. In questo caso specifico la nomina c.d. “ad abundantiam” infatti non va nella direzione della tutela delle parti coinvolte, anzi spinge proprio in una direzione opposta.
Un aiuto fondamentale per la corretta interpretazione e applicazione operativa della figura del Responsabile ex art. 28 del GDPR ci è recentemente venuto dalle Linee Guida 07/2020 sui concetti di Titolare e Responsabile adottate il 2 settembre 2020 dal EDPB, European Data Protection Board. Questo documento, attraverso numerosi esempi pratici di situazioni concrete, aiuta a comprendere in quali casi si obbligatoria la nomina a Responsabile e in quali casi invece ci si trovi in una situazione di autonoma titolarità o di contitolarità. Gli esempi sono numerosi e facilitano la comprensione di che cosa il legislatore intendesse con “trattamento dati per conto” del titolare. Ad esempio l’attività di manutenzione e assistenza IT la cui finalità sia solo quella di aggiornare o riparare malfunzionamenti hardware o software, anche qualora questo comporti accesso ai dati del Titolare, non giustifica la nomina a Responsabile del fornitore. Laddove invece tra le parti si concluda un contratto di fornitura in outsourcing di sistemi IT intesi come gestone esternalizzata di macchine, software, caselle di posta elettronica, rete, server ed altro, in questo caso la situazione di fatto giustificherebbe la nomina del fornitore a Responsabile.
La mera attività di promozione commerciale che svolgono gli agenti di commercio poi non vale di per sé a giustificare la nomina, mentre l’attività di cessione a terzi di un database da parte del Titolare per lo svolgimento di attività di telemarketing diretto richiede la nomina ai sensi dell’art. 28 del GDPR. Il principio di riferimento è quello della “esternalizzazione” di un trattamento, che viene portato fuori dall’azienda e per questo suo allontanamento risulta meritevole di essere regolato da un accordo ad hoc a tutela del Titolare e degli interessati coinvolti. Ed un cenno deve anche essere fatto in relazione all’attività delle professioni ad accesso selezionato come quella di avvocati, commercialisti, consulenti del lavoro: la loro autonomia e indipendenza generalmente mal si potrà conciliare, fatti salvi alcuni casi particolari (Risposta del Garante all’Associazione Consulenti del Lavoro su l’elaborazione dei cedolini paga del 22 gennaio 2019) con l’operare su indicazioni puntuali del Titolare. Bisogna riconoscere però che talvolta, nella pratica, risulta difficile distinguere tra le due casistiche ma certamente, anche in quei casi, il principio ispiratore dovrà essere quello della tutela dei dati personali e dei diritti degli interessati.
Tornando al caso della nomina ingiustificata dei fornitori a Responsabile per situazioni che invece avrebbero dovuto essere qualificate come titolarità autonoma, avevo anticipato come la sottoscrizione di detti accordi non fosse priva di conseguenze. Capita spesso che si senta dire: “nel dubbio lo nomino, così sono tranquillo” oppure “il cliente ci chiede di essere nominati Responsabili, per non indispettirlo accettiamo la nomina”. Proprio in questi casi è necessario cercare di fare comprendere alla propria controparte che tale nomina, oltre che ingiustificata, potrebbe risultare anche dannosa. Immaginiamo il caso in cui un fornitore venga nominato responsabile indebitamente, venga sottoscritto un accordo pieno di obblighi reciproci e poi a tutto quanto contenuto nell’accordo non venga data esecuzione effettiva. Mi riferisco ad esempio al diritto del titolare di controllare che il Responsabile si attenga alle indicazioni operative ricevute, se poi questo fornitore si rendesse responsabile di trattamenti illeciti, il Titolare potrebbe essere ritenuto responsabile a titolo di culpa in eligendo o di culpa in vigilando. Quindi certamente questi atti giuridici non possono essere ritenuti privi di effetti, talvolta anche rilevanti, e devono sempre essere sottoscritti con cognizione di causa da parte dei soggetti coinvolti.
In conclusione il suggerimento è quello di valutare sempre con grande attenzione la situazione di fatto che i rapporti tra cliente e fornitore generano e di utilizzare grande prudenza nella definizione della qualificazione giuridica soggettiva a fini privacy dei ruoli delle parti coinvolte. Non bisogna perdere di vista la finalità della norma, che è quella di regolare e tutelare gli interessati nel caso in cui trattamenti di dati personali che li riguardano vengano esternalizzati dal Titolare avvalendosi della collaborazione di soggetti esterni. L’outsourcing non potrà mai essere realizzato mettendo a rischio la tutela dei dati personali degli interessati.