Incaricati del trattamento: 5 cose da ricordare (comprese le sanzioni)

La nomina a incaricato non è un semplice adempimento burocratico in tema di protezione dei dati personali e non è mai opportuno prenderla alla leggera.

Troppo spesso sfugge che la nomina a incaricato fa parte delle misure minime di sicurezza la cui omissione è sanzionata sotto un duplice profilo: amministrativo e penale.

L’Autorità Garante ha più volte evidenziato che non provvedere alla designazione per iscritto, ai sensi dell’art. 30 del Codice della Privacy, degli incaricati del trattamento  comporta “la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all’art. 33 e seguenti, che il disciplinare tecnico (allegato B al Codice) riconduce all’attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 17 dell’allegato B) e la conseguente applicazione della sanzione di cui all’art. 162, comma 2-bis, del Codice”. 

Di seguito 5 cose da tenere bene a mente nella designazione degli incaricati del trattamento.

1. la designazione per iscritto degli incaricati del trattamento

   Gli incaricati del trattamento sono, ai sensi dell’art. 4 del Codice della Privacy, lettera h),  le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

   Da ciò si trae una prima, importante indicazione: solo le persone fisiche possono essere nominate “incaricate” del trattamento, e a condizione che agiscano sotto la diretta autorità del titolare o del responsabile.

   Il problema per i casi di esternalizzazione di servizi che implichino il trattamento di dati personali si è posto sin da subito: è possibile nominare un incaricato esterno? In un risalente provvedimento del Garante, ancora attualissimo, tale possibilità non veniva esclusa  ma veniva correlata all’effettiva portata del controllo del titolare. Il provvedimento si chiudeva con una considerazione dell’Autorità che prefigurava quella che sarebbe divenuta una prassi consolidata: “È invece facoltativa la designazione della società esterna come “responsabile del trattamento”, anche se tale preposizione diviene una soluzione in qualche modo obbligata quando una parte, sia pure strumentale, dei trattamenti necessari per perseguire le finalità del titolare del trattamento è curata, pur con limitata autonomia, da un soggetto esterno.”

   Il successivo art. 30 del Codice della Privacy, rubricato “Incaricati del trattamento” dispone, al primo comma, che le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

   Mentre al secondo comma stabilisce che la designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica a una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

   Quindi: la norma stabilisce tassativamente che gli incaricati possano essere designati per iscritto, ma non dispone una forma tassativa attraverso cui effettuare tale designazione, indicando che è sufficiente anche la preposizione documentata ad una unità per la quale è individuato per iscritto l’ambito del trattamento.

   Quest’ultima modalità necessita di alcune cautele, dato che il Garante ha mostrato di ritenere che il dettato normativo imponga che le “istruzioni” vengano impartite per iscritto, pertanto esse dovrebbero comunque essere fornite in tale forma, a meno che il titolare non rientri nell’ambito di applicazione del provvedimento di semplificazione (Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B al Codice in materia di protezione dei dati personali – Provvedimento del 27 novembre 2008 pubblicato in G.U. n. 287 del 9 dicembre 2008).

2.  la semplificazione

   Nel Provvedimento del 27 novembre 2008 – Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali – pubblicato in G.U. n. 287 del 9 dicembre 2008, il Garante include anche alcune disposizioni riferite alla nomina degli incaricati, a conferma del fatto che tale nomina rappresenta una misura minima di sicurezza.

   Si ricorda che non tutti i titolari possono avvalersi delle modalità semplificate: il provvedimento è destinato solo a soggetti pubblici o privati che:

   a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili  riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;

   b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

   In ordine agli incaricati il provvedimento in commento, al punto 2.1. rubricato Istruzioni agli incaricati del trattamento (modalità applicative delle regole di cui ai punti 4, 9, 18 e 21 dell’Allegato B)) stabilisce, in ordine al trattamento con strumenti elettronici, che le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.

   Al punto 3.1, è disciplinata una semplificazione quasi speculare per i trattamenti svolti senza l’ausilio di strumenti elettronici. Ciò che è oggetto di semplificazione, pertanto, è la forma attraverso la quale possono essere impartite le istruzioni, non la designazione, la quale dovrà, per contro, sempre avvenire per iscritto, secondo le modalità indicate dall’art. 30 comma 2 del Codice della Privacy.

3. la sanzione amministrativa

   Se a una prima, distratta, lettura può apparire che la mancata designazione degli incaricati non sia oggetto di alcuna sanzione (non essendo l’articolo 30 richiamato direttamente in alcuna norma sanzionatoria), la sua inclusione nel novero delle misure minime già da sé suggerisce quale sia la sanzione applicabile. Si tratta dell’art. l’art. 162, comma 2-bis, del Codice della Privacy che punisce la violazione delle disposizioni indicate nell’art. 33 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro; a leggere la norma in realtà ci si rende conto di quanto sia laborioso il “gioco dell’oca normativo” (come lo ha definito autorevole dottrina) che contraddistingue l’apparato sanzionatorio che presidia la tutela dei dati personali. Infatti l’articolo 33 richiama non l’articolo 30, ma l’articolo 34 del Codice, il quale a sua volta richiama l’allegato B del codice, che in alcuni punti, in effetti, richiama gli “incaricati” anche se non cita direttamente l’art. 30.

   Non è questa la sede per approfondire le perplessità sollevate dalla dottrina circa la legittimità di norme sanzionatorie costruite con una tecnica del rimpallo tanto spinta (e l’argomento è di rilievo soprattutto in relazione alle sanzioni penali), basti sapere che il Garante ha mostrato di superare l’ostacolo in un balzo, evidenziando come la mancata designazione degli incaricati del trattamento, di cui all’art. 30 del Codice, comporti la disapplicazione di tutte le misure di sicurezza previste dal Disciplinare tecnico di cui all’allegato B) al Codice della Privacy, e tanto giustifica l’applicazione della sanzione amministrativa.

   La sanzione può essere aumentata o diminuita ai sensi dell’art. 164 bis del Codice della Privacy.

   Si tratta di una sanzione che concorre con quella penale, dato che la norma dispone che essa si applichi “in ogni caso”.

4. la sanzione penale

   L’articolo 169 del codice della Privacy punisce, a titolo di contravvenzione,  chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33, con l’arresto sino a due anni.

   La norma non appare riferita al solo titolare, ma a tutti i diversi ruoli che concorrono al trattamento (incaricati e responsabili); tuttavia è evidente che una simile responsabilità potrà configurarsi in capo a soggetti diversi dal titolare solo laddove egli abbia provveduto correttamente alla designazione di responsabili ed incaricati, esercitando il suo potere di controllo e impartendo adeguate istruzioni, ma questi se ne siano discostati. Si tratta di una norma la cui applicazione presenta notevoli criticità per la tecnica legislativa adottata e che è stata oggetto di severa critica da parte della dottrina più accorta. Critiche che appaiono ancor più pregnanti proprio con riferimento alla inclusione della mancata designazione ad incaricato nella condotta penalmente rilevante.

   Ciò non toglie che, a causa del procedimento sanzionatorio delineato dal secondo comma, che prevede una forma di oblazione del tutto peculiare, il Garante, in presenza di violazioni che importano la sanzione amministrativa di cui all’art. 162 comma 2 bis del Codice della Privacy debba impartire anche le prescrizioni di cui all’art. 169 del Codice della Privacy con le conseguenze che ciò comporta sul piano penale.

5. l’oblazione

   Il secondo comma dell’art. 169 del Codice della Privacy, mutuando la procedura dalla disciplina sanzionatoria in materia di lavoro, dispone: “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili”

   Ciò sta a significare, in poche parole, che il Garante imporrà all’autore del reato di adottare le misure necessarie in un lasso di tempo congruo, non superiore a sei mesi. Se l’autore del reato fa quanto richiesto nel termine indicato dal Garante sarà ammesso a pagare una somma a titolo di sanzione amministrativa e il pagamento (unitamente all’adempimento che ne costituiva il presupposto) estinguerà il reato (oblazione), ossia il procedimento penale verrà archiviato. Nel caso in cui l’autore del reato non adempia alla prescrizione oppure, una volta adempiuto, non proceda al pagamento, invece, il procedimento penale andrà avanti innanzi alle autorità competenti.

   E’ importante non confondere questo pagamento con quello dovuto per effetto della sanzione amministrativa di cui all’art. 162 comma 2 bis: infatti, non lo sostituisce né costituisce una sua duplicazione. Il pagamento effettuato ai sensi dell’art 169 del Codice della Privacy è del tutto autonomo ed è finalizzato a estinguere il reato “trasformandolo” in una sanzione amministrativa. Si può solo scegliere di pagare, estinguendo il reato o non pagare, e lasciare che prosegua l’azione penale. L’eventuale sanzione comminata contestualmente ai sensi dell’articolo 162 comma 2 bis non ne verrà in alcun modo influenzata dovrà essere oggetto di autonomo, separato, pagamento o di opposizione nelle forme di rito.

La designazione degli incaricati dovrebbe essere un passaggio ormai assodato anche per le realtà più piccole dato il ruolo cruciale che riveste nella corretta gestione degli adempimenti privacy, che resterebbero lettera morta, se gli incaricati non li traducessero nella pratica. Tuttavia l’impianto sanzionatorio non è di immediata percezione e ciò potrebbe indurre a qualche leggerezza. È bene, invece, avere ben chiaro che l’Autorità include tale adempimento tra le misure minime di sicurezza, ciò al fine di adottare cautele stringenti che garantiscano adesione al dettato normativo a maggiore tutela degli interessati, e al fine di evitare di essere oggetto di procedimenti sanzionatori seppure fondati su una tecnica legislativa non scevra da critiche.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017