***
GDPR, natura e finalità
L’evoluzione tecnologica ha fatto sì che si rendesse necessario lo sviluppo di un quadro normativo più stabile e coerente in materia di protezione e trattamento dei dati personali all’interno dell’Unione Europea per consentire, maggiore controllo dei dati personali e maggiore certezza in merito alla gestione dei dati personali.
Il Gdpr si caratterizza, pertanto, per l’assenza di un binario predeterminato della norma, a favore di una precisa indicazione delle finalità degli adempimenti stessi, così abbandonando la precedente elencazione degli adempimenti essenziali.
Al Titolare del trattamento, in tale ambito, è lasciato il compito di contribuire attivamente al rispetto delle norme concedendogli maggiore libertà di azione ma anche più responsabilizzazione e responsabilità, non rappresentando tuttavia una minore severità del regime sanzionatorio.
Dunque il Regolamento UE n. 2016/679 accentuando la tutela della privacy, introduce elementi interessanti quali:
- Analisi del rischio e valutazione di impatto.
- Il registro dei trattamenti.
- Regole dettagliate in materia di informativa e consenso.
- Introduzione del “diritto all’oblio”.
- Introduzione del diritto alla portabilità dei propri dati personali.
- Introduzione del principio di responsabilizzazione (accountability).
- Introduzione della “privacy by design” ovvero protezione dei dati sin dalla fase di progettazione, e, ”privacy by default”, progettare misure che abbiano come impostazione predefinita solo l’uso dei dati necessari per finalità.
- Dpo (Data Protection Officer).
Il caso: La privacy nelle società in house, la nomina obbligatoria del DPO e la qualificazione del Titolare/Responsabile del trattamento
Il Regolamento Europeo, all’art. 37, ha introdotto la nuova figura professionale del DPO (Responsabile della Protezione dei dati), figura di garanzia aggiuntiva all’interno dell’azienda, quasi una sorta di piccolo “Garante” della Privacy, ai vertici della struttura ma autonomo e indipendente, diversa dal Responsabile del Trattamento.
L’art. 37 elenca i tre casi in cui vi è l’obbligatorietà della nomina del Dpo, e tra questi, alla lettera a), vengono indicati gli Enti Pubblici.
Un caso di particolare interesse, sotto molteplici punti di vista, riguarda le Società in house.
Le Società “in house” sono quelle società che, pur essendo formalmente enti di diritto privato, sono partecipate da soggetti pubblici, e, quindi, secondo consolidata giurisprudenza, sono assimilabili alle articolazioni organiche degli enti pubblici che al suo capitale partecipano in forma totalitaria. [C. Stato sez. VI, 26.5.2015, n. 2660; C. 14.3.2016, n. 4938.].
Pertanto tale forma di società sarebbe un’articolazione in senso sostanziale della pubblica amministrazione da cui promana e non un soggetto giuridico ad essa esterno e da essa autonomo.
La società è da definirsi “in house”, se costituita per finalità di gestione di pubblici servizi e laddove vi sia un potere di controllo dell’ente pubblico assimilabile a quello esercitato nei confronti delle proprie strutture (così come disciplinato, altresì, dall’art.2, par. 1, n.1 dir. 2003/98/CE).
I requisiti per la definizione della società in tal senso attengono alla:
(i) natura esclusivamente pubblica dei soci;
(ii) all’esercizio dell’attività in prevalenza a favore dei soci stessi;
(iii) alla sottoposizione ad un controllo corrispondente a quello esercitato dagli enti pubblici sui propri uffici; requisiti che devono coesistere contemporaneamente e devono essere ben definiti nello statuto sociale.
Soccorre, a sostengo della tesi della riconducibilità delle società in house nel novero degli enti pubblici, l’art. 2, par. 1, n.1-2 della dir. 2003/98/CE, riconoscendo i requisiti dell’organismo di diritto pubblico a qualsiasi ente che sia istituito per “soddisfare bisogni di interesse generale aventi carattere non industriale o commerciale”, che sia dotato di personalità giuridica e la cui attività sia finanziata in modo maggioritario dallo Stato.(cfr. In Dottrina- Avitabile- 336 ss.).
Più complessa appare l’obbligatorietà, della nomina del Dpo, nel caso di soggetti concessionari di pubblici servizi, per i quali il Garante ha precisato che si è in presenza di una figura soggettiva del tutto distinta dall’amministrazione concedente, allorquando la società abbia piena autonomia decisionale in ordine al trattamento delle informazioni, con conseguente concreta assunzione a suo carico di ogni responsabilità (Faq sul Responsabile della Protezione Dati in ambito pubblico, 15.12.2017). Il Garante raccomanda fortemente, anche in tali fattispecie, di nominare un Dpo.
Assodata la natura pubblicistica delle società in house da ciò deriva la obbligatoria nomina del DPO ex art 37 GDPR 679/2016.
Tuttavia la particolarità della fattispecie di che trattasi genera un’ulteriore riflessione in merito alla qualificazione della società in house quale Titolare/Contitolare ovvero Responsabile del Trattamento dei dati.
Le società in house possono ricoprire il ruolo di contitolare del trattamento o di responsabile “esterno”, per lo svolgimento delle attività̀ loro assegnate.
Nel caso in cui le società in house ricoprano il ruolo di responsabile del trattamento è necessario che vi sia un accordo con il Titolare del trattamento, in cui siano indicate le misure tecniche ed organizzative, a seconda della tipologia e delle modalità̀ di trattamento da eseguire per svolgere lo specifico affidamento nel quale devono essere definiti le rispettive responsabilità̀, ruoli e i rapporti dei contitolari con gli interessati in merito all'osservanza degli obblighi normativi da rispettare per il trattamento dei dati, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni sul trattamento cui sono soggetti.
Qualora siano presenti specifiche e peculiari esigenze, ed in mancanza di tale individuazione in merito ai compiti da assegnare, i soggetti esterni non sono responsabili del trattamento di dati personali, ma titolari o contitolari dello stesso.
L’art. 24 del Regolamento (UE) 2016/679 dispone in tal senso che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.
Risulta opportuno operare un accertamento che deve riguardare la natura e la finalità del trattamento, la tipologia dei dati (personali, giudiziali, sensibili, identificativi), la modalità del trattamento (automatizzato o meno) e la natura giuridica dell’interessato (dati di persone fisiche o giuridiche).
Alla luce di tanto, emerge chiaramente che la scriminante tra la qualificazione di una società quale Titolare-Contitolare del Trattamento e Responsabile del Trattamento, attiene, si ribadisce, alla mancanza o meno, di un preciso incarico (e all’uopo di una delibera), che definisca responsabilità, ruoli e rapporti.