25 Aprile 2020

Il Regolamento europeo sulla protezione dei dati (GDPR 679/2016): Natura e applicazione. Le Società in House

FRANCESCO PAOLO VISAGGI

Immagine dell'articolo: <span>Il Regolamento europeo sulla protezione dei dati (GDPR 679/2016): Natura e applicazione. Le Società in House </span>

Abstract

Il Regolamento Europeo 679/2016 ha segnato l’inizio del c.d. “GDPR”, acronimo di “General Data Protection Regulation”, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali, e, più in generale, la diffusione del termine privacy.

Oggi l’evoluzione tecnologica, con particolare riguardo ad internet, e la globalizzazione delle società dell’informazione, ha comportato un cambiamento radicale nella tutela della privacy la quale è passata da statica a procedimentale, intesa come garanzia del procedimento nella violazione, cessione e trasferimento dei dati; da qui la necessità di dotarsi di un quadro comune per tutti gli Stati Membri.

In questo scenario si colloca il regolamento UE n. 2016/679, entrato in vigore il 24 maggio 2016 e applicato dal 25 maggio 2018 (In Italia è stato emanato il Decreto di adeguamento - al Codice Privacy 196/2003 - D.Lgs n. 101/2018).

L’obiettivo è quello di garantire un elevato livello di protezione dei dati personali e consentire lo sviluppo dell’economia digitale in tutto il mercato dell’Unione Europea nel massimo rispetto del diritto alla privacy.

Un caso particolare attiene alla natura delle società in house, se siano enti pubblici e per l’effetto abbiano l’obbligo di nominare il Responsabile della Protezione dei dati e ancora se possiamo considerarle titolari o responsabili del trattamento dei dati.

***

GDPR, natura e finalità

L’evoluzione tecnologica ha fatto sì che si rendesse necessario lo sviluppo di un quadro normativo più stabile e coerente in materia di protezione e trattamento dei dati personali all’interno dell’Unione Europea per consentire, maggiore controllo dei dati personali e maggiore certezza in merito alla gestione dei dati personali.

Il Gdpr si caratterizza, pertanto, per l’assenza di un binario predeterminato della norma, a favore di una precisa indicazione delle finalità degli adempimenti stessi, così abbandonando la precedente elencazione degli adempimenti essenziali.

Al Titolare del trattamento, in tale ambito, è lasciato il compito di contribuire attivamente al rispetto delle norme concedendogli maggiore libertà di azione ma anche più responsabilizzazione e responsabilità, non rappresentando tuttavia una minore severità del regime sanzionatorio.

Dunque il Regolamento UE n. 2016/679 accentuando la tutela della privacy, introduce elementi interessanti quali:

  • Analisi del rischio e valutazione di impatto.
  • Il registro dei trattamenti.
  • Regole dettagliate in materia di informativa e consenso.
  • Introduzione del “diritto all’oblio”.
  • Introduzione del diritto alla portabilità dei propri dati personali.
  • Introduzione del principio di responsabilizzazione (accountability).
  • Introduzione della “privacy by design” ovvero protezione dei dati sin dalla fase di progettazione, e, ”privacy by default”, progettare misure che abbiano come impostazione predefinita solo l’uso dei dati necessari per finalità.
  • Dpo (Data Protection Officer).

 

Il caso: La privacy nelle società in house, la nomina obbligatoria del DPO e la qualificazione del Titolare/Responsabile del trattamento

Il Regolamento Europeo, all’art. 37, ha introdotto la nuova figura professionale del DPO (Responsabile della Protezione dei dati), figura di garanzia aggiuntiva all’interno dell’azienda, quasi una sorta di piccolo “Garante” della Privacy, ai vertici della struttura ma autonomo e indipendente, diversa dal Responsabile del Trattamento.

L’art. 37 elenca i tre casi in cui vi è l’obbligatorietà della nomina del Dpo, e tra questi, alla lettera a), vengono indicati gli Enti Pubblici.

Un caso di particolare interesse, sotto molteplici punti di vista, riguarda le Società in house.

Le Società “in house sono quelle società che, pur essendo formalmente enti di diritto privato, sono partecipate da soggetti pubblici, e, quindi, secondo consolidata giurisprudenza, sono assimilabili alle articolazioni organiche degli enti pubblici che al suo capitale partecipano in forma totalitaria. [C. Stato sez. VI, 26.5.2015, n. 2660; C. 14.3.2016, n. 4938.].

Pertanto tale forma di società sarebbe un’articolazione in senso sostanziale della pubblica amministrazione da cui promana e non un soggetto giuridico ad essa esterno e da essa autonomo.

La società è da definirsi “in house”, se costituita per finalità di gestione di pubblici servizi e laddove vi sia un potere di controllo dell’ente pubblico assimilabile a quello esercitato nei confronti delle proprie strutture (così come disciplinato, altresì, dall’art.2, par. 1, n.1 dir. 2003/98/CE).

I requisiti per la definizione della società in tal senso attengono alla:
(i) natura esclusivamente pubblica dei soci; 
(ii) all’esercizio dell’attività in prevalenza a favore dei soci stessi; 
(iii) alla sottoposizione ad un controllo corrispondente a quello esercitato dagli enti pubblici sui propri uffici; requisiti che devono coesistere contemporaneamente e devono essere ben definiti nello statuto sociale.

Soccorre, a sostengo della tesi della riconducibilità delle società in house nel novero degli enti pubblici, l’art. 2, par. 1, n.1-2 della dir. 2003/98/CE, riconoscendo i requisiti dell’organismo di diritto pubblico a qualsiasi ente che sia istituito per “soddisfare bisogni di interesse generale aventi carattere non industriale o commerciale”, che sia dotato di personalità giuridica e la cui attività sia finanziata in modo maggioritario dallo Stato.(cfr. In Dottrina- Avitabile- 336 ss.).

Più complessa appare l’obbligatorietà, della nomina del Dpo, nel caso di soggetti concessionari di pubblici servizi, per i quali il Garante ha precisato che si è in presenza di una figura soggettiva del tutto distinta dall’amministrazione concedente, allorquando la società abbia piena autonomia decisionale in ordine al trattamento delle informazioni, con conseguente concreta assunzione a suo carico di ogni responsabilità (Faq sul Responsabile della Protezione Dati in ambito pubblico, 15.12.2017). Il Garante raccomanda fortemente, anche in tali fattispecie, di nominare un Dpo.

Assodata la natura pubblicistica delle società in house da ciò deriva la obbligatoria nomina del DPO ex art 37 GDPR 679/2016.

Tuttavia la particolarità della fattispecie di che trattasi genera un’ulteriore riflessione in merito alla qualificazione della società in house quale Titolare/Contitolare ovvero Responsabile del Trattamento dei dati.

Le società in house possono ricoprire il ruolo di contitolare del trattamento o di responsabile “esterno”, per lo svolgimento delle attività̀ loro assegnate.

Nel caso in cui le società in house ricoprano il ruolo di responsabile del trattamento è necessario che vi sia un accordo con il Titolare del trattamento, in cui siano indicate le misure tecniche ed organizzative, a seconda della tipologia e delle modalità̀ di trattamento da eseguire per svolgere lo specifico affidamento nel quale devono essere definiti le rispettive responsabilità̀, ruoli e i rapporti dei contitolari con gli interessati in merito all'osservanza degli obblighi normativi da rispettare per il trattamento dei dati, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni sul trattamento cui sono soggetti.

Qualora siano presenti specifiche e peculiari esigenze, ed in mancanza di tale individuazione in merito ai compiti da assegnare, i soggetti esterni non sono responsabili del trattamento di dati personali, ma titolari o contitolari dello stesso.

L’art. 24 del Regolamento (UE) 2016/679 dispone in tal senso che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.

Risulta opportuno operare un accertamento che deve riguardare la natura e la finalità del trattamento, la tipologia dei dati (personali, giudiziali, sensibili, identificativi), la modalità del trattamento (automatizzato o meno) e la natura giuridica dell’interessato (dati di persone fisiche o giuridiche).

Alla luce di tanto, emerge chiaramente che la scriminante tra la qualificazione di una società quale Titolare-Contitolare del Trattamento e Responsabile del Trattamento, attiene, si ribadisce, alla mancanza o meno, di un preciso incarico (e all’uopo di una delibera), che definisca responsabilità, ruoli e rapporti.

 

Altri Talks