.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

10 febbraio 2019

Come ti inquadro il fornitore. Grazie al Garante ora non si litiga più.

Si registrano episodi in cui alcuni ordini professionali  abbiano dato prova di scarsa competenza pubblicando pareri non condivisibili e fornendo indicazioni errate ai propri iscritti. 

L'etica e la deontologia degli ordini non consentono di esplorare alternative che porterebbero a  concludere che i medesimi pareri siano improntati a criteri di comodo o convenienza. Non è lecito nemmeno pensarlo.

Purtroppo, molto spesso, questi pareri vengono utilizzati come risposta standard, acriticamente applicata, da consulenti molto competenti, ma in altre materie,  e probabilmente troppo occupati per curarsi di questi dettagli.

Personalmente ho spesso dovuto confrontarmi con posizioni atecniche, ma sostenute con veemenza e ardore sia da consulenti del lavoro che fiscalisti, commercialisti, avvocati, notai, revisori contabili, sindaci e consulenti dalle più disparate competenze. Le associazioni di categoria non sono immuni da questa tendenza interpretativa e sono moltissime ad aver guidato le imprese di riferimento sulla strada sbagliata, qualificando il ruolo dei propri fornitori in modo fantasioso e creativo.

Mi stupisce quanta fatica venga sprecata in difesa di temerarie posizioni in tutti  questi casi ove basterebbe un sereno ed intelligente confronto per individuare, caso per caso, lo scenario giuridico che meglio descrive la realtà.

Ultimamente, nel tentativo di semplificare la vita ai miei interlocutori e ai clienti, ho cercato di raccogliere alcuni materiali ufficiali per aiutare a comprendere la distinzione e i differenti ruoli di titolare, responsabile, incaricato, cotitolare, terzo. Tuttavia il parere del WP29 (Gruppo di lavoro ex art. 29 - Parere 1/2010 sui concetti di «titolare del trattamento» e «responsabile del trattamento» WP 169) viene recepito come troppo complesso, lungo, dettagliato e difficile da maneggiare.
Semplificando ulteriormente, ho cercato altri materiali pubblicati dai Garanti e, con rammarico, solo presso il garante Inglese (ICO) ho trovato una guida breve, chiara, orientata alla concreta applicazione della norma, purtroppo in lingua inglese. Anche questo pare essere un elemento che scoraggia la lettura di molti professionisti.

Courtesy Translation della
checklist e guida  ICO
su data processor (responsabile)
Nelle more di qualsiasi indicazione da parte della nostra Autorità, ho provveduto ad una personalissima traduzione di cortesia, ottenendo un documento abbastanza chiaro e leggibile: una paginetta che aiuta in concreto le aziende e i professionisti a comprendere i termini della questione e smorzare i toni di quello che, in moti casi, sembra uno scontro ideologico e un rimpallo di responsabilità.
Purtroppo, in un recente scambio, il precedente Presidente dell'Autorità Garante mi ha messo in guardia segnalando un concreto rischio nell'applicare linee guida di emanazione straniera. Effettivamente il mio ingenuo tentativo partiva dal presupposto che i garanti fossero coordinati e dalla mia intima convinzione che si fossero suddivisi il lavoro:

  • il garante inglese ha prodotto molte guide applicative
  • il garante francese ha pubblicato il software per elaborare la PIA (Privacy Impact Assessment)
  • il garante tedesco ha pubblicato pareri su temi scottanti di difficile soluzione interpretativa
  • il garante irlandese ha il compito di affrontare la compliance dei Big del web che in Irlanda hanno la base operativa, 
  • diversi garanti hanno pubblicato bozze di registro dei trattamenti, 
  • ecc.


Il garante Italiano, inizialmente,  è stato molto attivo su diversi fronti, ma non sulle guide applicative per i temi di più quotidiano interesse. 
Più di recente, si è registrata una accelerazione senza precedenti e l'Autorità ha gestito rilevanti ed urgenti temi, di portata generale, come il reddito di cittadinanza, la fatturazione elettronica, i temi di illecito trattamento dei dati da parte di Facebook–Cambridge Analytica.

La settimana scorsa il nostro Garante ha inoltre pubblicato, nella newsletter periodica, il proprio parere ufficiale, emesso in occasione di una specifica domanda posta da molti professionisti e ripresa dall'ordine dei CdL.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970

Evviva!
Ora, finalmente, non è più necessario guardare alle altre autorità e possiamo fare riferimento ad un importante documento del nostro Garante.

Ad una prima e frettolosa lettura, si potrebbe pensare che la risposta riguardi strettamente la domanda che è stata posta all'autorità. Al contrario, l'articolata spiegazione rappresenta un'indispensabile guida per riuscire a regolare, in modo trasversale, i rapporti tra un titolare (un'azienda) e i propri fornitori e consulenti chiamati a trattare, per suo conto, dati personali. 
Con buona pace delle lettere standard, delle risposte approssimative, delle strampalate posizioni supportate dagli ordini e dalle associazioni, finalmente, esiste un criterio per regolare in modo omogeneo una enorme serie di situazioni.

Il criterio fondamentale è declinato e chiarito in modo molto esplicito dal Garante:


"Le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento."

Sembra molto ragionevole provare, con cautela, ad estendere questo principio anche ad altre attività, parimenti affidate all'esterno, che comportino lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi di legge o all'esecuzione di contratti di cui sia titolare il soggetto originario. 


Tutti siamo chiamati a leggere, analizzare, studiare ed imparare dal testo integrale del garante.
Senza alcuna pretesa, come mero esercizio di astrazione, provo ad usare alcuni testi estratti dal provvedimento in modo da poterli applicare anche oltre la rigida ed inconsistente barriera del singolo ordine professionale:



In via prioritaria occorre distinguere il segmento di attività in cui il consulente tratta i dati dei propri clienti nella sua qualità di professionista (per gli adempimenti propri, fiscalità, fatturazione, ecc), dalla diversa attività per la quale il medesimo soggetto tratta i dati personali di cui è titolare il cliente (erogazione del servizio professionale commissionato).  


Nel secondo caso occorre fare riferimento alla figura del responsabile, che rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare  

Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento). 

...


Su un piano del tutto diverso rispetto alla figura del responsabile si pone colui che effettua (senza apprezzabili margini di autonomia) operazioni di trattamento sotto l’autorità del titolare o del responsabile.
La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di incaricati del trattamento, è ora previsto dall’art. 2-quaterdecies del Codice in materia di protezione dei dati personali.


In continuità con la normativa previgente, il garante si è già espresso e conferma che, di regola, siano responsabili del trattamento questi soggetti:


  • società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori
  • soggetto che fornisce servizi di localizzazione geografica 
  • servizi di posta elettronica
  • servizi di televigilanza 

A margine di tutto questo, ma anche grazie alle illuminanti parole del Garante, di recente, intrattenendo divertenti conversazioni tra amanti della materia, ho esplorato il ruolo degli ordini professionali che attribuiscono ai propri iscritti indirizzi pec formattati con nome.cognome@ordinedeprofessionale.it 
Nessuno pare essersi reso conto che questa email possa portare all'individuazione dell'ordine come un Responsabile del trattamento del singolo professionista, a questo asservito e dal quale ricevere indicazioni su come comportarsi in tutti quei casi che possano ricorrere con riferimento alla mailbox: uscita di un professionista dall'ordine, portabilità di tale indirizzo e su un differente fornitore, ecc.
Sarà interessare leggere i pareri degli ordini in proposito. Fino ad ora è stato possibile sostenere posizioni fantasiose grazie all'assenza di indicazioni ufficiali. Oggi diventa molto pericoloso discostarsi dalle indicazioni del Garante Privacy.

CB