Titolarità e responsabilità nel trattamento dei dati personali nell’outsourcing

Plico di riviste

Il Regolamento UE 2016/679 (“GDPR”), quanto alla individuazione dei ruoli di titolare e responsabile del trattamento, si pone in linea di continuità con quanto già prefigurato nella Direttiva 95/46/CE, fatta eccezione per le definizioni terminologiche (il titolare era definito responsabile e il responsabile era definito incaricato del trattamento).

Infatti, Il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri” (ex art. 4, n. 7, GDPR).

Il titolare del trattamento è dunque il soggetto responsabile del rispetto degli obblighi previsti dalla normativa, nazionale e comunitaria, in materia di trattamento di dati personali.

Il responsabile del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (ex art. 4, n. 8, GDPR).

Innovativa rispetto alla disciplina previgente è la puntuale individuazione delle caratteristiche e del contenuto dell’atto di nomina del responsabile del trattamento come disposto dall’art. 28, paragrafo 3 del GDPR. Si riscontra peraltro un irrigidimento del regime sanzionatorio; il responsabile del trattamento infatti risponde del danno causato dal trattamento di dati personali effettuato in violazione delle legittime istruzioni fornite dal titolare ovvero di una prescrizione del GDPR a lui specificamente diretta.

Nella prassi commerciale è molto frequente che nell’esercizio dell’attività di impresa un soggetto si avvalga di organizzazioni esterne a cui vengono affidati incarichi che possono comportare il trattamento di dati personali.

Tendenzialmente, il ruolo di responsabile del trattamento è riconosciuto all’organizzazione esterna a cui il titolare del trattamento delega la totalità ovvero una parte delle attività di trattamento di dati personali strumentali al business di quest’ultimo.

Tuttavia, seppur le due figure cardine in materia di trattamento di dati personali siano puntualmente definite dal legislatore europeo, talvolta non risulta concretamente agevole determinare tale distinzione.

Ciò può accadere, in particolare, quando un imprenditore, per erogare una o più prestazioni, si avvalga di soggetti terzi in outsourcing. Si pensi per esempio alle società di telecomunicazione che appaltano il servizio di manutenzione della rete telefonica o quello di assistenza clienti; oppure, ancora, alle società che forniscono servizi di cloud storage, ma i cui server sono di titolarità di terzi fornitori.

Analoghe questioni possono porsi, inoltre, nelle ipotesi in cui un imprenditore incarichi soggetti terzi di promuovere propri prodotti o finanche di sottoscrivere contratti in nome e per conto proprio. Si pensi, per esempio, al rappresentante che spende il nome dell’imprenditore o che utilizza la modulistica ad esso intestata.

In queste situazioni se, da un lato, l’imprenditore mandante riveste, quantomeno sulla carta, il ruolo di titolare del trattamento dei dati personali raccolti dai propri mandatari, in quanto è lui stesso che ne determina le finalità e modalità del trattamento, dall’altro, il terzo outsourcer, risulta essere solo un mero esecutore delle direttive e delle indicazioni del proprio mandante e, pertanto, agisce, sempre sulla carta, in qualità di responsabile del trattamento dei dati raccolti per conto dell’imprenditore.

Senonché tale distinzione non è così cristallina se si ha riguardo alle ipotesi in cui l’outsourcer non agisce semplicemente come longa manus dell’imprenditore mandante, ma conserva un qualche margine di autonomia nell’esecuzione dell’attività affidata. In queste ipotesi, infatti, non si può certo escludere che il terzo non determini in alcun caso le finalità e le modalità del trattamento dei dati personali, ancorché la raccolta dei dati avvenga per conto del mandante. Ben può essere, per esempio, che l’impresa appaltatrice del servizio di assistenza clienti operi, sì, sotto le direttive dell’impresa di telecomunicazioni, ma che tali direttive siano solo di carattere generale e che le modalità di svolgimento del servizio siano rimesse alla totale autonomia dell’appaltatrice stessa.

Come è possibile, allora, determinare con certezza quando sussiste titolarità e quando responsabilità? Esiste un criterio dirimente applicabile in ogni circostanza?

La risposta è che ad oggi non esiste alcuna soluzione pressoché univoca – né di fonte legale né di fonte interpretativa – applicabile ad ogni fattispecie astratta.

Ciononostante è possibile avvalersi delle indicazioni fornite a vario titolo dalla dottrina e dalla giurisprudenza, nonché dagli organi consultivi e dalle Autorità Indipendenti sia nazionali che comunitarie. Indicazioni che consentono di stabilire, attraverso valutazioni da operare caso per caso, quando vi siano titolarità e responsabilità del trattamento in situazioni borderline come quelle sopra descritte.

Sul tema si era già soffermato nel 2010 l’Article 29 Working Party (ora European Data Protection Board) quando, con il Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, aveva tracciato alcuni criteri risolutivi per l’individuazione della titolarità del trattamento.

In assenza di un’esplicita previsione normativa ovvero di una prassi giuridica consolidata, deve farsi riferimento alla c.d. influenza effettiva: la titolarità del trattamento deve essere attribuita in base ad una valutazione delle circostanze di fatto, quale può essere quella delle relazioni contrattuali fra le varie parti interessate. Tuttavia, in caso di dubbio, per individuare il titolare del trattamento si può ricorrere anche ad elementi extracontrattuali, come il grado di controllo reale esercitato da una parte sull’attività dell’altra, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità.

Al criterio del legittimo affidamento degli interessati fa riferimento anche il Garante per la Protezione dei Dati Personali che, con il provvedimento n. 230 del 15 giugno 2011 in materia di contratti di agenzia, ha individuato altresì ulteriori circostanze concrete per la definizione della titolarità del trattamento. Nello specifico, la titolarità sussiste allorché le attività svolte dall’outsourcer (nel caso di specie l’agente) siano appannaggio esclusivo dell’imprenditore mandante. Tale eventualità va verificata tenendo in considerazione, inter alia, i margini di autonomia dell’outsourcer nell’esercizio delle proprie attività, l’eventuale utilizzo della modulistica predisposta dal mandante, la vincolatività delle istruzioni impartite e il grado di controllo esercitato da quest’ultimo.

Anche la Corte di Giustizia dell’Unione Europea, con la sentenza del 29 luglio 2019 emessa all’esito della causa C-40/17, si è preoccupata di tracciare il perimetro della titolarità del trattamento, seppur con riferimento al rapporto tra soggetti contitolari. Infatti, richiamando i consolidati orientamenti interpretativi in materia, ha affermato anch’essa la necessità di ricorrere alle circostanze di fatto quale criterio dirimente per la determinazione delle finalità e delle modalità del trattamento e pertanto per l’individuazione della titolarità.

In conclusione, con riferimento all’attribuzione del ruolo di titolare o di responsabile del trattamento, non sempre le definizioni normative consentono di risolvere le situazioni connesse agli articolati rapporti commerciali. Riassumendo le interpretazioni sopra richiamate, in tali casi, al fine di comprendere chi sia concretamente il titolare del trattamento, si deve tenere conto dei seguenti elementi: (i) il legittimo affidamento degli interessati, (ii) l’autonomia dell’outsourcer nello svolgimento dell’attività per conto dell’imprenditore mandante, (iii) il grado di vincolatività delle istruzioni impartite all’outsourcer dall’imprenditore mandante, (iv) il grado di controllo esercitato dall’imprenditore mandante sull’operato dell’outsourcer.

Ne deriva che, ogniqualvolta l’outsourcer agisca esclusivamente in nome e per conto dell’imprenditore non potrà che trattare i dati personali in qualità di responsabile del trattamento.

Scritto da
Alessandro Castioni