Il presente parere affronta la questione riguardante la possibilità che un soggetto interno ad una struttura pubblica o privata (nella fattispecie, “Titolare del Trattamento”), a seguito di nomina a designato al trattamento dei dati personali ai sensi dell’art. 2-quaterdecies, possa nominare per conto del Titolare del Trattamento soggetti esterni (nella fattispecie, “Responsabili del Trattamento”).
Quali sono le figure interne previste dal G.D.P.R. ?
A tal riguardo giova precisare che a seguito dell’entrata in vigore del D.Lgs. 101/2018, il quale ha novellato il Codice Privacy, è stato definitivamente abrogato l’art. 29 del Codice Privacy che prevedeva espressamente la figura del Responsabile Interno del Trattamento.
Medesima sorte è stata prevista anche per i cd. “incaricati al trattamento” che, a seguito di abrogazione dell’art. 30 del Codice Privacy, sono stati espressamente esclusi.
In un’ottica di compensazione però le due figure, oggetto di abrogazione, sono state rispettivamente sostituite dal designato al trattamento (ex. art. 2-quaterdecies del D.Lgs. 101/2018) e dal soggetto autorizzato al trattamento (ex. art. 4, n.10, del Regolamento EU 2016/679).
Dunque, da un punto di vista organizzativo interno, l’organigramma privacy di una struttura, pubblica o privata, prevede oltre alla figura del Titolare del Trattamento, che opera ope legis, anche quella del designato e dell’autorizzato al trattamento.
Designato al trattamento vs vecchio Responsabile interno del trattamento: differenze
Per quanto concerne la figura del soggetto designato al trattamento è opportuno ritornare sulla vecchia nomenclatura (Responsabile Interno del Trattamento) per ravvisare come il cambio di nomenclatore non sia stato soltanto formale ma anche sostanziale.
Infatti, come sottolineato dal WP 29 opinion 1/2010, la figura del Responsabile Interno privacy assurgeva alla funzione di rappresentanza di una Società o Ente innanzi a logiche adempimentali e obbligatorie previste dalla Direttiva 46/96/CE.
Pertanto il Responsabile Interno del trattamento svolgeva, soprattutto in Strutture grandi e complesse, una funzione privacy per conto del Titolare.
Questa concezione, oggi ad appannaggio esclusivo del Responsabile Esterno del trattamento ex art. 28 del G.D.P.R., non è più ripresa nella formulazione del Regolamento EU 2016/679 né nel novellato Codice Privacy.
Infatti si parla di designato al trattamento come soggetto che agisce “…sotto la propria responsabilità (ndr, del Titolare) e nell’ambito del proprio assetto organizzativo”. Sicchè si può concludere affermando che il designato esercita i poteri che gli sono stati delegati dal Titolare del trattamento.
Quali poteri esercita il Designato al trattamento?
Proprio in merito al concetto di delega è pacifico che il Titolare del trattamento, nel rispetto del principio di accountability, definisca politiche e misure in tema di trattamento dei dati ed attribuisca deleghe per farle rispettare in concreto.
In conseguenza di ciò il designato esercita, dunque, i poteri che, in virtù dell’art. 4 quaterdecies del D.Lgs. 101/2018, gli sono stati assegnati mediante delega del Titolare del trattamento.
Come l’ordinamento italiano definisce la delega?
A questo punto è necessario chiarire la funzione della delega nel diritto e nell’organizzazione d’impresa.
La delega nell’ordinamento italiano è un atto cd. “dispositivo”, con il quale un soggetto dispone una competenza nei confronti di un altro soggetto, di fatto, autorizzandolo ad esercitare specifiche attività.
Questo però non significa che il delegato possa compiere tutte le attività che vuole.
Infatti, ulteriore caratteristica della delega è che questa fonda la competenza a provvedere su un dato oggetto. Dunque il delegato potrà compiere un solo atto o il medesimo atto tutte le volte che ne ricorrano i presupposti.
Tra gli effetti della delega vi è per l’appunto quello di poter esercitare la competenza conferita nei limiti delle direttive del Titolare.
Infatti benchè il delegato goda di una circoscritta discrezionalità nell’eseguire le istruzioni, l’inosservanza delle direttive del delegante può dare luogo a responsabilità disciplinare.
Dunque si può concludere dicendo che la delega in ambito di applicazione del G.D.P.R. è una soluzione classica per definire compiti e responsabilità. Infatti quanto più è complessa un’organizzazione tanto più potranno occorrere deleghe per garantire l’attuazione del Regolamento EU 2016/679.
Prendendo in esame la Relazione Illustrativa al D.Lgs. 101/2018, si evince dall’art.14 che per: “attribuzioni di compiti e funzioni” si debba intendere: “prevede il potere di titolare e responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati”.
Dunque il Legislatore utilizza il verbo delegare per identificare compiti e funzioni che i soggetti designati potranno effettuare.
Delega e Procura: sono sinonimi?
Nel diritto d’impresa italiano il concetto di delega va poi distinto da quello di procura.
Infatti per delega si intende: “atto interno di attribuzione di poteri, compiti e funzioni che specifica il contenuto dei compiti assegnati”. Mentre per procura si intende: “atto con cui l’impresa attribuisce a una persona poteri di rappresentanza verso terzi”.
Di guisa di ciò un contratto di nomina a Responsabile del trattamento (Data Processing Agreement) può essere sottoscritto da un soggetto diverso rispetto al Titolare del Trattamento, soltanto se quest’ultimo ha provveduto a conferire una procura speciale.
Questa considerazione è necessariamente da leggere in combinato disposto con il considerando 81 del G.D.P.R., il quale stabilisce che: “l‘esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”.
Dunque nel caso di contratto o altro atto giuridico sottoscritto da un soggetto interno all’organizzazione senza una apposita procura può parlarsi di atto contrastante con il diritto nazionale.
Volendo farne un parallelismo è come se un soggetto interno ad un’organizzazione sottoscrivesse un contratto di acquisto di un bene o la fornitura di un servizio in nome e per conto della Società o Ente senza avere ricevuto apposita procura commerciale, ma soltanto una delega.
Cosa serve affinchè un soggetto diverso dal Titolare possa nominare un Responsabile del trattamento?
In conclusione, dunque, è possibile affermare che pure in assenza di un chiaro ed esplicito chiarimento al riguardo dell’Authority nazionale sul punto bisogna convenire che in assenza di una procura nessun soggetto diverso dal rappresentante legale possa sottoscrivere un atto avente efficacia nei confronti di terzi.
Nel caso contrario il contratto, secondo il diritto nazionale, sarebbe da considerarsi carente di legittimazione da parte del soggetto interno dell’organizzazione e dunque inutiler data.