Lo dico subito, non è che sia nostalgico dell’assetto a tre livelli (titolare, responsabile e incaricato) tipico dell’attuale normativa privacy nazionale italiana. Hanno detto tutti che con il GDPR si torna al rigore binario europeo, con DATA CONTROLLER (responsabile) e DATA PROCESSOR (incaricato). Entrambe le figure possono essere persone fisiche o giuridiche e appaiono sin dalle Disposizioni Generali del Capo I, all’art. 4 “Definizioni”. Altre figure non sono previste, per cui sotto l’ombrello di “incaricati” si ricomprendono sia i semplici addetti, sia gli addetti con ruoli apicali, sia le società fornitrici (outsourcer).
Ma siamo PROPRIO SICURI che sia così?
Il Data Handler, “questo sconosciuto”
Rileggendo bene l’articolo 26 (che nell’ambito del Capo IV delinea appunto la figura dell’Incaricato) non vi appare evidente come calzi a pennello sulla figura di un outsourcer (società o professionista) ma niente affatto sugli addetti interni? Vedi il paragrafo 1, in cui l’incaricato deve “mettere in atto misure tecniche ed organizzative” per applicare il GDPR (stiamo chiaramente parlando di un fornitore, non di un singolo addetto); ancor di più i paragrafi 1 bis e 2 bis, dedicati al subappalto; o il paragrafo 2, che prevede per l’incaricato non una “nomina” ma un “contratto” ed una serie di obblighi tipici dei rapporti fra aziende (sino al comma G, che cita il termine della “prestazione dei servizi”); o il 2 bis bis, che prevede l’applicazione di “codici di condotta” o “meccanismi di certificazione” chiaramente riferiti ad aziende. Ma non basta: l’art. 35 sulla figura del DPO definisce quando responsabile e incaricato designano un DPO; per non dire dei riferimenti agli “organismi rappresentanti le categorie di responsabili o di incaricati” nel paragrafo 4 dello stesso art. 35 ma anche nel 38/1bis e nel 39/1bis, riconducibili esclusivamente ad aziende.
Assumiamo quindi per un momento che il GDPR per “incaricato” intenda essenzialmente una società esterna fornitrice di servizi (analoga al responsabile esterno dell’attuale codice privacy); ma dato che la definizione all’art. 4 paragrafo 6 sembra voler chiaramente includere anche i singoli addetti persone fisiche, possibile che di questi non si abbia traccia nel resto del regolamento, visto che il 26 li ignora brillantemente? In verità due timidi accenni a queste figure compaiono nel 37, dove prevede fra i compiti del DPO quello di “informare e consigliare responsabili, incaricati nonché i dipendenti che trattano dati personali” (che quindi appaiono per la prima volta come una entità distinta dagli incaricati) e la “formazione del personale che partecipa ai trattamenti“. Certo, è un po’ poco per sostenere che quindi esiste una terza figura (il DATA HANDLER, distinta dal processor) ma qualche dubbio sull’assetto rigorosamente a due livelli me lo concederete… Che conseguenze pratiche poi abbia questa lettura non saprei: anche ammesso che questa figura esista, il GDPR se ne occupa del tutto marginalmente. Ed è un peccato, perché la Privacy è fatta di procedure ma soprattutto di persone, senza il pieno coinvolgimento delle quali tutto il resto rimane lettera morta. O no?
Il tema è trattato all’articolo 27 che recita: “Articolo 27 Trattamento sotto l’autorità del responsabile del trattamento e dell’incaricato del trattamento
L’incaricato del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”
NB: questo post faceva ancora riferimento alla versione provvisoria del GDPR che circolava sino ad aprile.
Nel testo definitivo approvato è stata ripristinata la definizione di Responsabile (al posto di quella di Incaricato qui citata) e i riferimenti corretti sarebbero agli Art. 28 (per il mio intervento) a 29 (per la replica di Fumagalli).