Il titolare è titolare, il responsabile è responsabile

di Paolo Ricchiuto* - 23.09.04

Partiamo da un dato: la norma è chiara nel qualificare come titolare colui cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza (art. 4 lett. f del codice).
In uno studio professionale costituito (come nell'esempio fatto) da un ingegnere, una segretaria, ed altri soggetti che gestiscono in outsourcing alcuni servizi (es.: la contabilità), non mi sembra possano sussistere dubbi sul fatto che le prerogative di cui parla la norma, e cioè la. titolarità del potere decisionale per tutto quanto attiene al trattamento dei dati, siano da attribuire al soggetto che esercita l'attività professionale, e cioè a dire l'ingegnere stesso.

Chiarissime sul punto le indicazioni fornite dal Garante, ad esempio, nel parere reso al Consiglio nazionale forense in data 03.06.04: l'avvocato che tratta i dati dei suoi clienti, essendo il dominus in termini di definizione delle finalità e modalità del trattamento, non può che essere qualificato come titolare.
Per quanto sia suggestiva, pertanto, la tesi che uno studio professionale (in quanto "complesso di mezzi, persone, competenze organizzative e processi") possa essere assimilato ad una azienda, a mio parere non trova riscontro nell'attuale panorama normativo, e non può essere sostenuta.

Né la dizione di "organismo" contenuta nell'art. 4 lett. f), può secondo me giustificare la attribuzione di tale qualità a realtà quali gli studi professionali che, dal punto di vista giuridico-formale, mi sembrano ben lungi dal poter costituire un'entità a sé rispetto al professionista. Diversamente ragionando, si finirebbe per attribuire una sorta di personalità giuridica a strutture che sono sprovviste di qualsiasi requisito per incorporare i caratteri di tale istituto.

Ma, si sostiene, se titolare è il professionista, e se lo stesso indica nella informativa il fatto di aver designato gli outsourcer come responsabili, allora l'interessato potrebbe trovarsi nella condizione di esercitare i propri diritti rivolgendosi al soggetto sostanzialmente sbagliato, atteso che il responsabile esterno potrebbe non esser nemmeno a conoscenza della privacy policy seguita dal titolare.

Si tratta, a mio parere, di un falso problema.
Nel dare l'informativa, infatti, è certamente vero che ogni titolare è tenuto ad indicare gli estremi identificativi di almeno un responsabile. Ma questo non significa affatto che il responsabile sia tenuto a "dare riscontro" alle istanze degli interessati.
Mi spiego meglio:
l'art. 7 c. 1 prevede che l'interessato possa veicolare le sue richieste anche per il tramite del responsabile, o addirittura degli incaricati.
Ma tale norma va coordinata con quanto previsto dall'ultima parte dell'art. 13 comma 1 lett. f), dove si chiarisce quanto segue: Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'art. 7, è indicato tale responsabile.

La designazione del responsabile, pertanto, non porta implicitamente con sé l'attribuzione della prerogativa di dare riscontro alle istanze degli interessati.
E il fatto che gli interessati possano trasmettere al responsabile le proprie richieste (art. c. 7 c.1), non significa che il responsabile sia sempre tenuto a gestirle autonomamente.
Alla luce di tutto ciò, ritengo di poter affermare che la soluzione all'interessante problema prospettato sia più semplice di quanto sembri.

E' sufficiente che il professionista, titolare del trattamento:
- non attribuisca la prerogativa di riscontrare le istanze degli interessati ai responsabili esterni, chiarendo agli stessi, nelle lettere di designazione, che in ipotesi di ricezione di una istanza ex art. 7 questa debba essere immediatamente girata al titolare, affinché questi vi dia idoneo e tempestivo riscontro;
- dia evidenza nella informativa del fatto che gli interessati, per l'esercizio dei propri diritti, debbono rivolgersi direttamente al titolare.

Nessuno ha la verità in tasca. Tantomeno il sottoscritto. Questo intervento, quindi, deve esser letto come un semplice contributo di riflessione, nella navigazione. a vista alla quale siamo tutti costretti da una normativa così ostica e costellata di insidie.
 

* Avvocato in Roma