|
Per un'opinione diversa si veda Il titolare è titolare, il responsabile è responsabile
di Paolo Ricchiuto
Occupandoci di "privacy" dagli albori di questa
disciplina possiamo dire di averne colto l'essenza e di aver colto le
motivazioni di fondo che hanno spinto il legislatore alla stesura di alcuni
articoli del DLgs 196/03, anche se, in qualche caso, le intenzioni si sono
tradotte in un articolato di disposizioni che risulta difficilmente
concretizzabile e declinabile nella realtà quotidiana.
E' il caso dell'informativa di cui all'art. 13. Nelle intenzioni del legislatore,
infatti, emerge con chiarezza la volontà di tutelare l'interessato nella
misura più ampia, prevedendo che egli sia "informato" non solo sulle
finalità del trattamento ma anche in relazione alle modalità di trattamento,
alla natura obbligatoria o facoltativa del conferimento ed alle conseguenze di
un eventuale rifiuto a rispondere, ai soggetti che in qualità di responsabili
od incaricati vengono a conoscenza dei dati, dei diritti dell'articolo 7. Inoltre, recita il disposto
normativo, gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del
responsabile. Quando il titolare ha designato più responsabili è indicato
almeno uno di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei
responsabili. Quando è stato designato un responsabile per il riscontro all'interessato
in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale
responsabile.
E' proprio quest'ultimo punto a presentare una difficile
applicazione nelle realtà concrete.
Per ciò che attiene, infatti, la filosofia che ci ha guidato nei lavori di
consulenza svolti presso i nostri committenti, chiunque, esterno alla struttura,
si trovi a dover trattare i dati per conto del titolare viene visto come "responsabile"
esterno non come struttura autonoma cui i dati vengono comunicati, per evitare
che il commercialista, il consulente del lavoro, il medico competente ed, in
genere, altri professionisti si trovino a dover nuovamente sottostare ad
obblighi quali l'informativa, la raccolta del consenso, ecc. La nomina a "responsabili"
si rende, quindi, necessaria per giustificare e snellire il flusso di dati e gli
adempimenti oltre che per corresponsabilizzare alcuni soggetti, in ordine all'applicazione
della normativa sulla privacy.
In particolari strutture, quali gli studi professionali, per una piena
applicazione della lettera f) del comma 1 dell'art. 13 sono necessarie alcune
puntualizzazioni e sarebbe auspicabile un intervento del Garante.
Per esemplificare il problema, immaginiamo di avere a che fare con uno studio
professionale costituito da un ingegnere, titolare dello studio, una segretaria
e che si avvale della collaborazione di altri professionisti autonomi per le
pratiche.
La contabilità viene gestita esternamente da un centro di elaborazione dati e
ci si avvale di un consulente del lavoro per la gestione della dipendente.
Nel dare l'informativa ai committenti, per dare piena applicazione ai disposti
di legge, l'informativa dovrebbe citare il titolare ed almeno un responsabile.
Sorgono a questo punto due problemi pratici fra loro
connessi: chi è il titolare e chi citare come responsabile.
Il primo problema è legato al fatto che nel panorama legislativo e
giurisprudenziale, lo studio non si distingua dalla persona fisica del
professionista, nonostante nella realtà sia, invece, un complesso di mezzi,
persone, competenze organizzative e processi paragonabile a quello delle
imprese. Se ci si rifà a questa diffusa interpretazione il titolare del
trattamento è il professionista non lo studio, inteso come struttura autonoma.
Né il professionista potrebbe essere nominato quale responsabile, poiché
riveste già il ruolo di titolare.
Ne consegue che, nell'esempio sopra riportato, per dare
piena applicazione ai disposti normativi, andrebbe citato almeno uno dei
responsabili esterni che, però, ha ricevuto la nomina per poter trattare i dati
e che non ha un ruolo attivo nell'interfaccia con l'interessato.
Poiché la ratio della norma è quella di facilitare all'interessato l'esercizio
dei propri diritti, è proprio al professionista titolare dello studio, invece,
che andrebbero indirizzate eventuali istanze.
Ad avviso degli scriventi è però possibile un'interpretazione
che consente l'applicazione della norma senza snaturarne il significato.
Posto che l'art. 4, c. 1 lett. f) definisce il titolare come "la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad altro
titolare, le decisioni in ordine alle finalità, alle modalità del trattamento
di dati personali e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza", lo studio professionale potrebbe essere considerato proprio un
"organismo" autonomo, dotato di potere decisionale.
Nell'ambito dei suoi poteri discrezionali questo procede
alla nomina quale "responsabile" del titolare dello studio. Del resto, lo
studio professionale sta ad un'azienda come il professionista sta ad un membro
del consiglio di amministrazione.
Così facendo, si potrebbe qualificare quale titolare lo studio professionale e
quale responsabile per l'esercizio dei diritti, il professionista titolare
dello studio, dando concretezza e coerenza ai disposti di legge rispetto alla
ratio che l'ha ispirata.
Sarebbe, però, auspicabile un intervento di validazione da parte del Garante,
sperando che si tratti di un parere chiarificatore e non astruso né foriero di
nuovi dubbi.
|
Pagina stampabile
