UN VADEMECUM PER ASSEGNARE LA GIUSTA QUALIFICA SECONDO LA CASISTICA DECISA DAL GARANTE
Antonio Ciccia Messina
L’azienda è un crocevia di dati personali e ogni flusso necessita della sua giustificazione privacy. Ogni spostamento di dati impone una definizione dei ruoli «privacy» di mittente e destinatari.
Il destinatario dei dati può essere un fornitore (e allora sarà un responsabile esterno) oppure un dipendente (da qualificare come autorizzato) oppure potrebbe essere un soggetto esterno che persegue obiettivi propri (con il ruolo di titolare del trattamento). Ogni opzione ha un adempimento documentale, come il contratto con il responsabile esterno o la designazione dell’autorizzato al trattamento. Tutte incombenze, queste, da curare meticolosamente, perché la sanzione amministrativa (fino a 20 milioni di euro) è dietro l’angolo, se non altro per trattamento scorretto di dati.
Ma non è sempre facile districare il bandolo della matassa delle qualifiche (titolare o responsabile?) e sbagliarsi fa ritornare alla casella delle sanzioni.
Proprio per scongiurare il rischio sanzioni, è importante conoscere la casistica, soprattutto quella decisa dal Garante della privacy, poiché il riferimento alle definizioni generali e astratte, molto spesso, non porta a un risultato univoco e si possono trovare punti di appoggio sia per dire che un destinatario di dati è responsabile sia che è titolare. Con molto pragmatismo, dunque, è più proficuo sondare se ci sia una pronuncia del Garante che abbia risolto un caso specifico piuttosto che affannarsi a cercare di far collimare perfettamente il caso concreto nei parametri astratti.
Seguendo questo metodo si prenderà atto che il medico competente, anche interno, è stato ritenuto titolare del trattamento (essendo il datore di lavoro responsabile del trattamento, se il medico si avvale della struttura e delle risorse aziendale per conservare e elaborare i dati). Dalla definizione del ruolo del medico competente discendono obblighi documentali, come il contratto con il datore di lavoro (quest’ultimo responsabile esterno) e tutti gli altri obblighi documentali (come l’informativa) in capo, sempre al medico.
Consultando i precedenti del Garante si constaterà che il consulente del lavoro è stato qualificato (rispetto al datore di lavoro suo cliente) quale responsabile esterno. E leggendo attentamente i documenti di fonte «garante» si noterà che quanto detto a proposito del consulente del lavoro è esteso anche ad altri professionisti. Similmente a quanto detto sopra, dalla configurazione soggettiva deriva la necessità di sottoscrivere un apposito contratto tra datore di lavoro (titolare) e professionista esterno (responsabile del trattamento).
Altro caso risolto dal Garante della privacy è stato quello dei componenti dell’organismo di vigilanza, istituto ai sensi del dlgs 231/2001: sono assimilati ai dipendenti e sono quindi autorizzati al trattamento. Per loro il datore di lavoro deve compilare un atto di designazione e fornire istruzioni, compatibilmente con la sfera di autonomia loro consona.
Un filone di enorme importanza, infine, è quello dei rapporti con i sindacati. E qui l’impostazione del Garante è sempre stata ispirata a cautela: il sindacato in quanto tale non ha diritto a sapere tutto di tutti i lavoratori. Occorre, invece, limitarsi ad applicare gli istituti contrattuali delle informative appannaggio delle organizzazioni sindacali, senza esagerare. Nella tabella pubblicata in pagina, è stata riepilogata la casistica con una proposta di configurazione soggettiva.
Peraltro, nei casi dubbi, si suggerisce di chiedersi se il destinatario del dato riceve dati nell’interesse del datore di lavoro e per una finalità di quest’ultimo: questo parametro, anche se su basi di prevalenza, potrà spostare l’ago della bilancia verso una qualifica del datore di lavoro quale titolare del trattamento.
Un’ultima notazione riguarda la circolazione interna all’azienda dei dati dei lavoratori: può essere giustificata solo in considerazione della necessità di utilizzo per lo svolgimento di mansioni peculiari dei singoli uffici. Non c’è libertà di circolazione assoluta nemmeno all’interno del perimetro aziendale.
Fonte: