by RD Informatica.com
FAQ
F.A.Q.
Domande - Risposte
Privacy: l'outsourcer responsabile del trattamento?
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
Internet Provider
 
FAQ
Internet Provider
Applicativi asp
Motomania

Privacy: l'outsourcer responsabile del trattamento?

Negli ultimi anni si è venuta affermando una prassi secondo cui l'outsourcer il cui incarico prevede attività di «trattamento» su banche dati di titolarità del proprio cliente, viene spesso nominato Responsabile del trattamento (esterno), ai sensi dell'art. 29 del D.Lgs. 30 giugno 2003, n. 196 (e, fino al 31/12/2003, ai sensi dell'art. 8 della Legge n. 675/1996).

La scelta potrebbe essere corretta e legittima sia sotto il profilo organizzativo che sotto quello giuridico, ma è bene chiarire che non esiste alcun «automatismo» né, tantomeno, alcun obbligo legale di agire nel senso sopra indicato. La scelta deve essere attentamente valutata caso per caso, a seconda del rapporto con la società outsourcer e del tipo di funzione esternalizzata.

Fra le funzioni aziendali che vengono più spesso esternalizzate possiamo pensare all'elaborazione delle paghe, all'imbustamento e alla consegna di corrispondenza, all'archiviazione nonché, più di recente, alla conservazione sostitutiva dei documenti aziendali.

La designazione dell'"outsourcer» come Responsabile del trattamento semplifica sicuramente l'attività dell'outsourcer, e, proprio per tale motivo, risulta la «soluzione» spesso promossa dagli outsourcer stessi, attraverso la predisposizione di testi di nomina che vengono sottoposti al cliente, da far sottoscrivere, contestualmente o anche successivamente al conferimento dell'incarico principale. Viceversa, come emergerà nel prosieguo, la suddetta designazione comporta una serie di obblighi di vigilanza che, di fatto, complicano l'attività del soggetto che ha esternalizzato le attività.

Per impostare correttamente il ragionamento e, di conseguenza, la scelta, preliminarmente è utile verificare che cosa preveda la legge.

L'art. 4 del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003) definisce il responsabile del trattamento come «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali».

Una molteplicità di articoli del medesimo Codice richiamano la figura del Responsabile quale soggetto cui fare riferimento per una serie di situazioni, in alternativa al Titolare (vd. artt. 7, 8, 9, 10, 13, 30, 142, ecc., D.Lgs. n. 196/2003).

In base all'art. 29, del Codice privacy:

1.

«Il responsabile è designato dal titolare facoltativamente.

2.

Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3.

Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4.

I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5.

Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni».

Il D.Lgs. n. 196/2003 (così come, peraltro, negli stessi termini l'art. 8 della Legge n. 675/1996) prevede perciò che «il responsabile è designato dal titolare facoltativamente»: deve essere ben chiaro, quindi, che per legge non sussiste alcun obbligo, per il soggetto che dà in outsourcing determinate attività (da qui in avanti, lo indicheremo come il «cliente»), in qualità di primo Titolare del trattamento, di nominare il proprio outsourcer quale proprio Responsabile (esterno). In assenza di nomina, si ricade, semplicemente, nella situazione «naturale» di Titolarità autonoma nel trattamento dei dati da parte dell'outsourcer.

Posto, quindi, che la nomina a Responsabile del trattamento esterno configura semplicemente una delle possibili strade percorribili, per verificarne, a questo punto, la fattibilità e la convenienza nella situazione concreta, è utile esaminare la prassi dell'Autorità Garante sull'argomento (vd. risposte a istanze del 9 giugno 1998, 8 ottobre 1998, 19 dicembre 1998, 18 maggio 2000, 29 aprile 2004). L'orientamento del Garante per la privacy mette in evidenza come sia anzitutto essenziale verificare quale rapporto intercorra tra l'azienda cliente e l'outsourcer per ciò che riguarda il trattamento dei dati personali. Occorre in altre parole chiarire, se l'outsourcer:

1.

svolga unicamente il ruolo di collaboratore «esterno» di un trattamento di dati personali le cui scelte di fondo (e responsabilità) sulle finalità e modalità di utilizzazione dei dati competono essenzialmente se non esclusivamente all'azienda cliente; l'outsourcer avrebbe perciò solo limitati margini di autonomia in ordine al concreto svolgimento del servizio ed a scelte tecnico-operative. In questo caso, è corretto che la società cliente rappresenti l'esclusivo «titolare», che ha la facoltà di designare l'outsourcer quale «responsabile del trattamento» (esterno), permettendogli, quindi, di accedere ai dati, in funzione, però, unicamente strumentale allo svolgimento dell'incarico, nei limiti e secondo le finalità individuate analiticamente dall'azienda cliente (es. qualità e quantità delle informazioni trattabili, operazioni eseguibili, logiche di aggregazione, misure di sicurezza);

2.

possa e intenda accedere alla documentazione del cliente (contenente dati personali), utilizzandola sì per scopi inerenti all'incarico ma individuando in proprio le finalità e le modalità del trattamento in condizioni di autonomia rispetto al soggetto cliente. In questo caso l'outsourcer opera quale autonomo titolare (o contitolare) del trattamento, avente responsabilità distinte rispetto al cliente stesso.

L'aspetto cruciale della questione, dal punto di vista organizzativo, è che nella prima ipotesi non si realizza, in termini «tecnici», una «comunicazione» di dati a terzi, e l'accesso ai dati da parte della società outsourcer è come se fosse «interno» ad un trattamento che si sviluppa, sul piano giuridico, nell'ambito della sfera di responsabilità della sola struttura cliente.

Nel secondo caso, si realizza, invece, una vera e propria «comunicazione» di dati a terzi, con tutte le conseguenze anche a livello di «consenso» e di esercizio, per gli interessati, dei particolari diritti previsti dalla normativa sulla privacy.

La stessa Autorità Garante ha osservato che in alcune ipotesi la scelta di designare un responsabile esterno può apparire, di fatto, impraticabile; in particolare:

qualora gli outsourcer (e gli eventuali sub-outsourcer) siano numerosi, perché ciò determinerebbe alcuni inconvenienti nella ricognizione e nell'esecuzione degli adempimenti (ad esempio della Notifica e dell'Informativa);

nelle situazioni in cui l'outsourcer abbia una piena ed effettiva autonomia riguardo non solo alla disciplina del servizio e alle scelte tecnico-operative, ma anche alle decisioni principali sulle finalità e sulle modalità di utilizzazione dei dati (es. misure di sicurezza).

L'Ufficio del Garante, nelle sue «pronunce», che si sono susseguite in questi anni di applicazione della normativa, ha segnalato più volte che la legge, a tutela dei terzi interessati, pone a carico del designante Titolare precisi obblighi:

di valutazione della sussistenza dei requisiti per l'assunzione della carica di Responsabile,

di vigilanza sull'attività di trattamento svolta all'esterno della propria sfera operativa, presso la struttura del Responsabile (esterno).

Ai sensi di legge, la verifica di sussistenza dei requisiti obbligatori e del loro mantenimento nel tempo appare particolarmente critica nel caso di nomina di Responsabili esterni a una società; anche per questo l'orientamento del Garante è contrario ad ogni automatismo, a favore di una ponderata valutazione sui reciproci spazi di autonomia, tra Titolare e Responsabile, nelle scelte su finalità e modalità di trattamento di dati personali.

L'obbligo di vigilanza, inoltre, è un altro aspetto fondamentale nella valutazione della nomina dell'outsourcer quale proprio Responsabile esterno: il Titolare non può delegare l'intera gestione del trattamento e disinteressarsene; anzi deve assumere un ruolo attivo per tutta la sua durata, ivi compresa la fase di definitiva cessazione di ogni operazione, tenendo sotto controllo l'operato dell'outsourcer. In molti rapporti contrattuali tale vigilanza è, di fatto, non voluta o addirittura materialmente impraticabile; ne consegue che la nomina del terzo quale Responsabile esterno non sarebbe la scelta corretta.

In conclusione, alla luce di quanto fin qui evidenziato, è da osservare che:

1.

la nomina di un soggetto (interno o esterno) quale Responsabile del trattamento è una mera facoltà e mai un obbligo (nemmeno nel caso di outsourcing);

2.

in linea di massima, a prescindere da qualsiasi giudizio di valore sul singolo outsourcer, quindi solo agli specifici fini della disciplina di cui trattasi, l'attribuzione al terzo del ruolo di Responsabile del trattamento esterno è per molti versi poco conveniente per l'azienda Titolare, in quanto il Titolare-cliente manterrebbe la responsabilità di azioni compiute da soggetti che di fatto possono essere ben al di fuori della sua sfera di controllo (pur essendo obbligato per legge ad esercitare la propria vigilanzasull'outsourcer);

3.

in ogni caso, qualsiasi modalità di nomina impostata come mera formalità contrasta con le prescrizioni legali, in quanto la normativa sulla privacy (vd. art. 29, D.Lgs. n. 196/2003) subordina la validità e l'efficacia dell'atto di nomina del Responsabile del trattamento ad una preventiva verifica della sussistenza dei requisiti di legge in capo al destinatario della nomina;

4.

la designazione di eventuali Responsabili «esterni» può essere effettuata solo se l'organismo esterno svolge prestazioni strumentali e subordinate alle scelte del cliente. Questo non deve essere, ovviamente, un espediente per eludere la normativa in materia di protezione dei dati personali, come potrebbe accadere, per esempio, nel caso in cui la designazione del soggetto «esterno» quale Responsabile del trattamento sia volta a mascherare una «comunicazione» di dati a terzi senza che sia chiesto il «consenso» degli interessati, oppure nel caso di diversità o incompatibilità tra le finalità perseguite dai soggetti che si scambiano i dati.

Non sembrano perciò condivisibili le affermazioni in base alle quali l'outsourcer, per le attività esternalizzate, si posiziona «naturalmente e inevitabilmente», ai sensi della normativa sulla privacy, come Responsabile del trattamento dei dati personali del cliente.

RIFERIMENTI NORMATIVI
D.Lgs. 30 giugno 2003, n. 196 (art. 29)


Autore: Fabio Ledda - Dottore commercialista in Milano
Fonte:
Azienda & Fisco - Ipsoa Editore, n. 10, Maggio 2007


faq Indietro

 

Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | VideoWeb | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 207266 P.Iva 01241970415 - info@rdinformatica.com

Applicativi asp
Internet provider
Software House
SMS Web
Software SMS
Mailing Project
Affari
Motomania
Immobiliare Lavoro