Responsabili esterni: Consulenti del lavoro e Istituti di Vigilanza

di Marco Soffientini, Esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy e Silvia Mencaroni, collabora con lo Studio Legale Rosadi-Soffientini Associati e nel progetto “Videosorveglianza Urbana Integrata” di Ethos Academy 

Esternalizzazione di servizi e responsabilità dei soggetti esterni in ambito privacy. Un tema di grande attualità che riguarda davvero tutti. Un Istituto di Vigilanza che gestisce un impianto di videosorveglianza di un cliente, per fare un esempio, è titolare o responsabile del trattamento? E ancora: un consulente del lavoro che tratta dati dei propri clienti e dei dipendenti di questi ultimi, si considera  titolare o responsabile del trattamento? 

Negli ultimi anni diversi sono stati i casi sottoposti al Garante in merito alla corretta configurabilità delle figure privacy (titolare e responsabile). Il primo e più recente riguarda una lettera del 24 settembre 2018 del Consiglio nazionale dei consulenti del lavoro, che ha sottoposto al Garante un quesito relativo al ruolo del consulente del lavoro alla luce del Regolamento (UE) 679/2016 con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità. Il secondo caso, del 2014, ha riguardato un impianto di videosorveglianza installato presso una farmacia con immagini visionate dalla centrale operativa di un Istituto di Vigilanza.

Consulenti del Lavoro

La vicenda dei Consulenti del lavoro traeva spunto dalla circolare 23 luglio 2018, n. 1150 con la quale il Consiglio nazionale dei consulenti del lavoro affermava che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. E’ possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

Gli Istituti di Vigilanza

Nel caso esaminato dall’Autorità Garante relativo ad un servizio svolto da un Istituto di Vigilanza il trattamento si svolgeva nel seguente modo: le immagini raccolte presso i locali della farmacia e trasmesse alla centrale operativa dell’istituto “venivano conservate [dallo stesso] non oltre le 24 ore successive alla rilevazione (fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o di particolare rischiosità dell’attività svolta, comunque non superiori ai 7 giorni).

Il quadro di riferimento

Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”. 

Titolare del trattamento

L’art. 4, n. 7 del Regolamento definisce “titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio, la società, il ministero, l´ente pubblico, l´associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).  

Responsabile del trattamento

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.