I ruoli privacy nel Regolamento Generale sulla Protezione dei Dati

Dal 1996, anno della prima attuazione nel nostro Paese della normativa di matrice europea sulla protezione dei dati personali, è ormai trascorso un ventennio, che è servito a fondare, quanto meno, la consapevolezza circa la pervasività della tutela dei dati personali nello svolgimento della normale attività di professionisti, imprese e amministrazioni pubbliche. Anche per tale ragione probabilmente, ora che si è prossimi all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati, l’attenzione sul testo normativo è alta e, circolando già le prime traduzioni, molti si avventurano, spesso per la prima volta, sul terreno accidentato e pieno di insidie dei testi comunitari in lingua italiana in tema di privacy.

Se non si ha familiarità con i pareri resi dal Gruppo di lavoro dei Garanti Europei, con il testo della Direttiva 95/46/CE, e, in generale, con la produzione della Commissione e con gli atti dell’Unione, ma si è acquisita dimestichezza solo con la normativa nazionale, il primo impatto può essere molto destabilizzante.

La tripartizione dei ruoli nel Codice Privacy

Chi è uso alla terminologia adottata nella legge 675/1996 e trasmigrata nel Codice della Privacy, infatti, è ormai avvezzo alla scansione dei “ruoli” privacy e conosce la nota tripartizione tra Titolare, Responsabile (la cui nomina è, nel Codice, facoltativa – sebbene l’Autorità Garante individui sempre più spesso, con propri provvedimenti, casi in cui la nomina di “responsabili esterni” viene resa “obbligatoria”) e Incaricato (la cui designazione, invece, non solo è obbligatoria ma rientra addirittura tra le misure minime di sicurezza). Chi abbia anche solo un minimo di conoscenza della normativa nazionale saprà, atresì, che mentre il Titolare e il Responsabile (se designato) possono essere persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo, l’Incaricato può essere solo una persona fisica.

Tali concetti si sono oramai sedimentati, ma chi non si è mai misurato dal ’95 a oggi con i testi comunitari, o, magari, essendovi incappato accidentalmente si sia fermato a una lettura distratta, potrebbe approcciare in maniera del tutto fuorviante il testo del Regolamento.

Dato che, stando all’esperienza diretta, questa evenienza mi pare più frequente di quanto non ci aspetterebbe, e dato che, probabilmente, i Titolari del trattamento preferiscono, comprensibilmente, prendere una conoscenza diretta del testo che si troveranno ad applicare, scrivo questo post con la speranza di evitargli inutili sforzi ermeneutici, tanto fantasiosi quanto inutili.

Lost in translation

La prima abbagliante modifica che, agli occhi del neofita, pare aver apportato il Regolamento, è la scomparsa del Titolare. Al suo posto restano, unici attori, il Responsabile e l’Incaricato, oltre a un “Responsabile della protezione dei dati personali” che al di là dell’infelice e ulteriormente confusoria scelta terminologica (che si direbbe dettata da una certa dose di sadismo) altri non è che il Data Protection Officer. Ma chi sono il Responsabile e l’Incaricato? Qui occorre guardare alla definizione offerta dal testo:

Il Regolamento, all’art. 4 (userò la numerazione presente nella Proposta), definisce il “responsabile del trattamento” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi del trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o degli Stati membri”

Al netto degli ovvi riferimenti all’Unione anziché alla CE, è identica alla definizione offerta dalla Direttiva all’art. 2: «responsabile del trattamento» è “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per al sua designazione possono essere fissati dal diritto nazionale o comunitario;” .

Suona familiare? Certo che sì! Codice Privacy, art. 4, lettera f): ”titolare”:  <<la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;>>

Quindi: il Responsabile individuato dal Regolamento, “controller” nel testo in inglese, corrisponde al nostro Titolare.

Il Regolamento quindi non muta una virgola della definizione di “controller” (userò il termine inglese in riferimento alla normativa europea per non generare ulteriore confusione), limitandosi ad aggiornare i riferimenti alla Comunità Europea.

L’incaricato nel Regolamento

Chiarito che il controller è il Titolare, chi è quindi l’Incaricato al quale fa riferimento il Regolamento?

Ancora una volta sarà la definizione a venirci in soccorso: secondo l’art. 4 del Regolamento, infatti, ”incaricato del trattamento” è “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del responsabile del trattamento”.

Sarà diversa dalla definizione offerta nel 1995 dalla Direttiva? Basta leggere il già citato articolo 2, che definisce «incaricato del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;” L’apparente differenza terminologica tra “elabora” e “tratta” è del tutto insignificante. Anch’essa è uno scherzo della traduzione; mettiamo a confronto le due versioni in inglese:

Regolamento: <‘processor‘ means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller>

Direttiva: <‘processor’ shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller>

A parte la forma verbale più diretta (a riflettere l’immediata vincolatività del Regolamento), non ci sono differenze. L’Incaricato (il processor) è quello che noi, nella normativa nazionale, chiamiamo “Responsabile”; nel Codice Privacy, infatti, si legge:

<“responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali>

Non è del tutto identico, ma, dal punto di vista funzionale, è certamente calzante.

L’incaricato nel Codice Privacy

Chi è allora quello che noi chiamiamo incaricato? Il codice privacy qualifica come “incaricati” <le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile>, definizione che nella direttiva (e nel Regolamento) si ricava da quella di soggetti  “terzi” rispetto al trattamento: riporterò solo il Regolamento (dato che in lingua inglese la dicitura è identica a quella riportata dalla Direttiva, le differenze terminologiche risultanti dalla traduzione sono anche qui del tutto insignificanti): “terzo” è “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate al trattamento dei dati sotto l’autorità diretta del responsabile o dell’incaricato”. Null’altro: l’incaricato del trattamento presente nel Codice della Privacy è un’invenzione tutta italiana. Nel testo della Direttiva non compariva in alcuna altra norma e i trattamenti si sviluppavano in una scansione bipartita tra controller e processor: l’organizzazione interna restava fuori dalla normativa, che si limitava a richiamare le misure organizzative del Titolare solo per affidargli degli obiettivi da raggiungere (ad esempio che le persone autorizzate ai trattamenti li mantenessero riservati), e gli Stati membri erano liberi di regolarsi come meglio credessero, ingerendosi dell’organizzazione interna o lasciando libero il Titolare di perseguire gli obiettivi prefissati autonomamente, con un’efficace organizzazione. L’Italia ha scelto di normare puntualmente anche i trattamenti interni alla struttura del Titolare.

Tutto a posto, niente in ordine

Scansione bipartita, abbiamo detto, e non tripartita come nella normativa italiana: ma anche a guardare la dialettica tra controller e processor come disciplinata dalla Direttiva, ci si accorge che il legislatore nazionale ha utilizzato ampiamente la discrezionalità che la Direttiva stessa gli accordava; sebbene, infatti, le definizioni coincidano con quelle riportate e sebbene il Responsabile di matrice italiana si radichi profondamente nella figura del processor (ad esempio per il possesso dei requisiti che ne legittimano la scelta), i due ruoli non sono del tutto sovrapponibili: infatti, il processor delineato dalla direttiva è simile al “Responsabile esterno”, non a quello individuato all’interno della struttura del Titolare.

Il Gruppo di Lavoro ex art 29 nel parere 01/2010, in cui analizzava le figure del “Controller” e del “Processor” ha chiarito che l’esistenza del processor dipende da una decisione presa dal controller. Quest’ultimo può decidere o di trattare i dati all’interno della propria organizzazione o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna. Per poter agire come processor occorrono pertanto due requisiti: da un lato essere una persona giuridicamente distinta dal controller, e dall’altro elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciar spazio a un certo margine di discrezionalità sul modo di servire gli interessi del controller, permettendo al processor di scegliere i mezzi tecnici e organizzativi più adeguati (ho sostituito la traduzione con i termini corrispondenti in lingua inglese, per limitare la confusione tra i ruoli).

E come si vede, la facoltatività della nomina è molto limitata: è facoltativa la decisione di esternalizzare o meno il trattamento; una volta che il Controller abbia optato per l’esternalizzazione, la nomina del processor appare inevitabile (e magari, in questa prospettiva, si spiega la tendenza del Garante a coartare le nomine a Responsabile esterno, superando la normativa nazionale).

Ritorno al Futuro

Questa impostazione e questo disallineamento tra le traduzioni degli atti europei e il lessico adottato dal legislatore nazionale si trascina da un ventennio e l’auspicio è che finalmente l’entrata in vigore del Regolamento vi ponga termine. E’ per questo però, per la non perfetta corrispondenza dei ruoli che giace sotto l’accavallamento delle rispettive definizioni, che alcuni commentatori hanno già evidenziato che che l’entrata in vigore del Regolamento segnerà uno spostamento verso una scansione bipartita dei ruoli, che si collocherà nell’alveo della tradizione europea; non perché, come erroneamente potrebbe indurre a credere il pasticcio lessicale risultante dalla totale assenza di coordinamento tra traduzioni e legislatore interno, i trattamenti saranno demandati ai soli responsabili e incaricati (che in realtà sono, giova ripeterlo, Titolari -controller e Responsabili – processor), con tanti saluti al Titolare, o altre bizantine ricostruzioni. Tra le tante novità apportate dal Regolamento rispetto alla normativa previgente, quella sulla scansione dei ruoli non c’è: era così già nella Direttiva (a parte la puntuale ricostruzione del Data Protection officer).

Solo ricollocando le definizioni nell’alveo della normativa, della prassi e della giurisprudenza (anche le traduzioni delle sentenze della Corte di Giustizia ovviamente fanno riferimento alla bipartizione tra “responsabile” e “incaricato”) che si è sviluppato in questi vent’anni,  è possibile apprezzare correttamente le novità (ad esempio in tema di responsabilità del processor) che effettivamente apporterà il Regolamento, e non prendere abbagli osservando la normativa da una prospettiva del tutto falsata e ingannevole.

AGGIORNAMENTO: il 6 aprile 2015 è stata pubblicata la traduzione ufficiale del Regolamento come risultante dalla prima lettura del Consiglio dell’Unione Europea. Il testo è quello che verrà approvato dal Parlamento UE. La traduzione ufficiale per la prima volta allinea la terminologia europea a quella italiana, rendendo “controller” con “titolare” e “processor” con “responsabile”.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017