NORMATIVE

GDPR, la responsabilità si potrà delegare. Nasce la figura del sub-responsabile

Il Regolamento europeo sulla privacy (General Data Protection Regulation) che entrerà in vigore l’anno prossimo introduce la possibilità per il responsabile del trattamento di nominare un altro responsabile in caso di relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali

Pubblicato il 10 Lug 2017

privacy-lock-data-170629145201

25 maggio 2018: data in cui sarà direttamente applicabile il Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ormai comunemente noto come “GDPR” (General Data Protection Regulation).

Concepito nel contesto di una realtà ove condivisione e interconnessione sono i nuovi pilastri fondanti del modello di scambio delle informazioni, il Regolamento non poteva che – tra le altre innovazioni – recepire anche i mutamenti connessi alla crescente tendenza alla differenziazione organizzativa. In altre parole, lo sviluppo di catene di prestazioni di servizi e il ricorso al subappalto o all’esternalizzazione delle attività portano al coinvolgimento di più soggetti e alla creazione di molteplici relazioni. Il Regolamento ha dunque colto la complessità delle relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali, introducendo l’inedita figura del sub-responsabile. Il legislatore europeo prevede così la possibilità per il responsabile del trattamento di nominare un altro responsabile “previa autorizzazione scritta, specifica o generale, del titolare”.

Un potere da sempre proprio del titolare (la designazione dei responsabili) diventa oggetto di possibile delega, a conferma di una nuova ripartizione delle responsabilità prevista dal Regolamento. Il titolare mantiene però il potere di opporsi alle modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento ad opera del responsabile iniziale. A tal fine, il Regolamento stabilisce un rilevante onere informativo a carico di quest’ultimo che sarà quindi tenuto a comunicare adeguatamente al titolare le eventuali modifiche.

Se la fonte dell’investitura formale (cioè della designazione) muta, resta invece invariato il rapporto di subordinazione nei confronti del titolare. Il sub-responsabile risulterà infatti legato al titolare e al trattamento da un contratto o da un altro atto giuridico, che riprodurrà gli obblighi contenuti nell’atto di designazione con cui il titolare ha nominato a suo tempo il responsabile iniziale. Il sub-responsabile dovrà quindi eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate.

Tuttavia, analogo rapporto gerarchico potrebbe rilevarsi anche nei confronti del responsabile iniziale: a norma del Regolamento, questi dovrà infatti rispondere al titolare dell’eventuale inadempimento del sub-responsabile. Dunque, il Regolamento pone indirettamente a carico del responsabile iniziale una responsabilità per culpa in eligendo e per culpa in vigilando che legittimano implicitamente la possibilità per quest’ultimo di impartire istruzioni al sub-responsabile, purché conformi a quelle del titolare e strumentali alle finalità di trattamento.

In conclusione, il Regolamento ha introdotto un’ipotesi di designazione diretta tra responsabili la cui attuazione non tarderà a rivelare la propria efficacia. D’altronde le relazioni fattuali della società contemporanea risentivano da tempo di una normativa lacunosa che non riconosceva sulla carta ciò che ormai era prassi comune. Tuttavia, l’opera di adeguamento non pare ancora conclusa: occorre implementare il riconosciuto schema relazionale tra responsabili in tutti i contesti del trattamento dei dati personali. In ambito di flusso transfrontaliero di dati, ad esempio, è auspicabile che le ipotesi di trasferimento di dati all’estero tra responsabile e sub-responsabile vengano normativamente regolate o, perlomeno, che possano essere impiegate anche in tale contesto clausole contrattuali standard, analoghe a quelle già previste per le ipotesi di trasferimento di dati tra titolare e responsabile.

* Giusella Finocchiaro, Professore ordinario di Diritto privato e Diritto di Internet all’Università di Bologna. Avvocato

* Laura Greco, Dottoressa in Giurisprudenza

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati