Fra poco il GDPR compirà i primi cinque anni di vigenza e molte esigenze, questioni, problematiche sono sorte e sono state affrontate dalle Autorità Garanti e dagli addetti del settore, per cercare di governare la complessità crescente che caratterizza il trattamento e la tutela dei dati personali. In questa sede ci si sofferma sull’ articolazione dei ruoli privacy, per vagliare se la predetta complessità possa essere fronteggiata con un più ampio ventaglio di figure specialistiche rispetto alla triade titolare / responsabile del trattamento e persone da loro autorizzate al trattamento.
L’art. 2 quatordecies (Attribuzione di funzioni e compiti a soggetti designati) del “nuovo” Codice della Privacy italiano consente infatti di ampliare la compagine organizzativa degli addetti alla privacy, con l’ipotesi di figure – ma non necessariamente interne come si propone qui – cui conferire specifici compiti e funzioni, espressamente designate.
Già di recente è stata proposta sul portale di Federprivacy una interessante visione dell’assetto dei ruoli organizzativi, distinguendo fra organigramma (basato sulle figure definite dal GDPR: titolare/responsabile del trattamento e incaricato) e funzionigramma, sulla base della predetta norma del Codice Privacy, per differenziare all’interno di ciascuna organizzazione le figure dei designati/delegati, per rispondere alle diverse esigenze operative rispetto alla generica figura del soggetto autorizzato al trattamento (per il quale il GDPR non specifica le modalità di ingaggio mentre il Dlgs 196/2003 prevede genericamente l’adozione delle “modalità più opportune” per procedervi).
In tale ottica, figure tipizzate già esistenti possono essere individuate ad esempio negli amministratori di sistema oppure, come proposto nel citato intervento, nei “middle managers” cui potrebbe essere conferito il ruolo di “designato/delegato”. Ma altre figure potrebbero essere individuate in considerazione di specifiche normative come ad esempio il “Delegato alle pari opportunità” o il “Responsabile della prevenzione della corruzione e della trasparenza”, che trattano set specifici di dati personali.
L’ipotesi che qui si propone è di considerare in maniera aperta l’assetto organizzativo nel senso che alcune competenze professionali essenziali per i processi produttivi potrebbero essere reperite fuori ma operanti sotto l’autorità, con mezzi e misure di sicurezza del titolare del trattamento (quindi non configurabili come responsabili del trattamento).
A corroborare questa ipotesi, ci può aiutare la figura del Responsabile del servizio di prevenzione e protezione dai rischi (RSPP) previsto dall’art. 17 Dlgs 81/2008 sulla salute e sicurezza del lavoro (TUSSL), che ha compiti in generale di supporto e consulenza a favore del datore di lavoro (in ciò assimilabile al Responsabile per la protezione dei dati) e per che può trovarsi a trattare dati dei dipendenti in relazione alle diverse incombenze demandate dall’art. 33 al servizio di prevenzione e protezione.
Siccome il RSPP (come il RPD) può essere interno o esterno a parità di compiti svolti nel perimetro dell’organizzazione (i dati personali trattati sarebbero i medesimi, con le finalità e misure di sicurezza definite dal titolare), escludendo che possa essere inquadrato come titolare/responsabile del trattamento, resterebbe l’opzione fra generico autorizzato al trattamento e delegato al trattamento dei dati personali per gli aspetti attinenti alla salute e sicurezza sul lavoro (es dati dei lavoratori da formare, dati dei lavoratori coinvolti nelle attività di presidio della SSL), anche nel caso che il RSPP fosse un professionista esterno.
Non solo, l’interpello n. 24 -2014 reso dalla competente Commissione ex-art 12 del TUSSL specifica che, laddove la norma preveda che il RSPP sia interno all’organizzazione, non si deve però intendere che debba essere un dipendente dell’organizzazione ma piuttosto un soggetto incardinato nell’ambito dell’organizzazione aziendale “ che assicuri una presenza adeguata per lo svolgimento della propria attività”.
A rendere più articolato l’assetto dei ruoli privacy, sempre in materia safety un’altra figura prevista dal TUSSL è quella del “Medico competente”, che pure può essere dipendente o professionista esterno ma che, in entrambe le evenienze a fini privacy si configura come titolare autonomo del trattamento (almeno per quel che riguarda la sorveglianza sanitaria obbligatoria).
La situazione quindi è alquanto variegata: lo spunto di riflessione è se la delega ex – art 2 quaterdecies del Codice Privacy possa essere estesa a figure esterne all’organizzazione, allorquando le stesse non ricoprono, con evidenza, il ruolo di titolare autonomo, contitolare o responsabile del trattamento.
In questo andrebbe considerato che secondo la teoria organizzativa, un’organizzazione nel definire in maniera efficace ed efficiente i propri processi aziendali può ricorrere e miscelare le opzioni “make” (cioè processi internalizzati) o “buy” (ricorrere all’esterno).
Del resto, e non è un paradosso, anche il Data Protection Officer può trovarsi a trattare dati personali dei dipendenti e collaboratori dell’organizzazione (sia nelle dinamiche delle attività svolte, sia nella gestione della patologia dei data breach): ma considerarlo (interno o esterno che sia) un “semplice” autorizzato al trattamento parrebbe incongruo con la motivazione per cui si trova a trattare questi dati.
Parimenti non potrebbe per definizione essere considerato un titolare (e tantomeno un responsabile) del trattamento. Quindi anche per il DPO, esterno o interno che sia, si potrebbe concludere che si tratti di un designato, di natura particolare ovviamente, dotato di uno specifico status, che nella sua azione deve tener conto sia del GDPR e del Codice Privacy sia dell’assetto organizzativo, considerando “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
Del resto, in un lontano parere del 1999 (doc. web. n. 42260, certo siamo nel contesto pre-GDPR: un altro mondo) il Garante della Privacy nell’affermare che nel ricorso all’esterno per attività di trattamento dati le società vanno considerate come responsabili del trattamento, con riguardo alle persone fisiche, anche se dipendenti di tali società, prevedeva la possibilità / obbligo di nominarle incaricati del trattamento che “devono operare necessariamente sotto la ‘diretta autorità’ del titolare o dell´ eventuale responsabile del trattamento oggetto del contratto, ‘autorità’ che si concretizza anche attraverso istruzioni periodiche”.
Come prima conclusione si può quindi ritenere che l’opportunità offerta dall’art. 2 quaterdecies del Codice della Privacy potrebbe essere approfondita circa la possibilità di designare (espressamente, quindi negli accordi contrattuali) delegati (esterni) al trattamento dei dati personali che non siano titolari / responsabili del trattamento.
Ciò ovviamente vagliando di volta in volta la concreta situazione e considerando che l’autorità diretta non necessariamente deve essere intesa solo riferibile al lavoro subordinato ma anche ad attività professionale rese secondo forma contrattuali diverse dal lavoro subordinato, purché svolte secondo i vincoli (anche con riguardo alle previsioni del GDPR e delle altre norme dei diversi settori) definiti dal titolare – committente.