ScintLex.it

		in collaborazione con
La prima banca dati di diritto dell'internet e dell'informatica che si aggiorna grazie al contributo dei suoi visitatori

Home

E-mail

Chi siamo Come collaborare Redazione Contatti Hanno collaborato Copyright

Sei in: /Domande&Risposte


	Editoriali
	News
	E-commerce
	E-government
	Tutela del consumatore
	Documento Informatico
	Conservazione sostitutiva
	E-privacy
	Sicurezza informatica
	Fatturazione elettronica
	Reati informatici
	Marchi e domain name
	E-copyright
	Stampa e Internet
	Pubblicità on line
	ADR e ODR
	Contratti informatici
	Informatica Giuridica
	Computer Forensics
	Processo Telematico
	Recensioni
	Appuntamenti
	Domande&Risposte

Iscriviti alla mailing-list

Privacy: Responsabile in outsourcing e Incaricato al trattamento nel caso di "collaborazione esterna"

E' giunto alla nostra casella di posta elettronica il presente interessante quesito:

Come da contatti telefonici appena intercorsi (corso di Martedì 28/2/06 sul D.P.S.) invio quanto segue per un cortese Vs possibile commento:
Facendo seguito ad un quesito all'URP del Garante rivolto a chiarire come configurare ai sensi del D.Lgs.196/2003 una società esterna (con dipendenti), che funziona come "collaboratrice" esterna del titolare del trattamento, mi è stato inviato di risposta la copia di un parere del Garante stesso (che era già stato formulato da altri) che riporto, in parte, qui di seguito: "La Vs. società ha chiesto al Garante un parere in merito alla possibilità di nominare, quale incaricato del trattamento, una società esterna che in base ad un vincolo contrattuale fornisce servizi concernenti la stampa e l'elaborazione dei cedolini di stipendio dei dipendenti. In proposito occorre precisare che la L.675/96, nel prevedere la figura dell'"incaricato del trattamento" ha inteso evitare che i collaboratori del titolare del trattamento siano considerati "terzi" ai fini dell'applicazione delle disposizioni sulla protezione dei dati personali. Infatti non sono considerati "terzi" gli incaricati del trattamento precisamente individuati per iscritto e che operano sotto la "diretta autorità" del titolare e ode responsabile, attuandone le istruzioni. Tale possibilità può essere utilizzata sia quando gli incaricati operano all'interno dell'ordinaria struttura del titolare, sia quando essi coadiuvano il titolare stesso operando presso un centro esterno. E' necessario però tener conto che possono essere designati quali "incaricati" solo ed esclusivamente le persone fisiche e non anche le entità personificate che possono invece rivestire la qualità di "responsabile del trattamento". Ciò non deve tuttavia portare a ritenere che la Vs. società non possa avvalersi della collaborazione di una entità esterna, anche in forma di outsourcing. Infatti, se da un lato gli artt.8 c.4 e 19 non consentono di nominare come "incaricato del trattamento" la società esterna, dall'altro non escludono la possibilità (ed anzi introducono un obbligo in tal senso), di conferire l'incarico stesso ai dipendenti della società i quali devono operare necessariamente sotto la "diretta autorità" del titolare o dell'eventuale responsabile del trattamento oggetto del contratto, "autorità" che si concretizza anche attraverso istruzioni periodiche. Si ricorda infatti che possono accedere ai dati trattati per conto della Vs. Società le sole persone fisiche incaricate per iscritto del trattamento dei dati stessi. Tale principio opera anche in caso di coinvolgimento di personale esterno. E' invece facoltativa la designazione della società esterna come "responsabile del trattamento", anche se tale preposizione diviene una soluzione in qualche modo obbligata quando una parte, sia pure strumentale, dei trattamenti necessari per perseguire le finalità del titolare del trattamento è curata, pur con limitata autonomia, da un soggetto esterno. In conclusione, se non è possibile designare una società esterna quale "incaricato del trattamento", è però possibile avvalersene osservando i principi sopra esposti."
La possibilità che il titolare del trattamento predisponga una lettera di incarico al dipendente di altra società sembra, a mio modesto avviso, un pò strana. Oltre tutto configurare un dipendente di altra società come "sotto la diretta autorità" del titolare del trattamento di altra struttura e cioè non del proprio datore di lavoro, può forse configurare qualche problema anche di altro genere.
Allora l'unica soluzione possibile nel rispetto delle norme, sarà quella di nominare semplicemente la società esterna come responsabile lasciando che poi la responsabile esterna stessa disponga autonomamente all'interno della sua struttura la propria organizzazione ai sensi della privacy, quindi autorizzando i propri incaricati (interni).
Grato per un Vs. riscontro in merito porgo i miei più cordiali saluti.

^^^Risposta dell'avv. Andrea Lisi:

Effettivamente la soluzione prospettata dal Garante è un po' contorta e, a mio modesto avviso, non di così semplice applicazione. Il concetto di delega interna, come previsto dal Codice, per la figura di incaricati non sembrerebbe ascrivibile ad ipotesi di "delega esterna" ad incaricati di società con le quali si collabora. Se il concetto di incaricato, come definito dalla lettera h) comma primo dell'art. 4 del Codice, potrebbe rendere astrattamente possibile questa ipotesi di "delega esterna" - infatti il Codice semplicemente si limita a riferire che incaricati sono "le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile" - altrettanto non si può dire partendo da una più approfondita analisi dell'art. 30 del Codice. Infatti, l'art. 30 prevede che "1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima." Appare indubitabile che il legislatore abbia inteso riferirsi per le figure di incaricati al trattamento in ogni caso a deleghe interne attraverso le quali si può esplicare la diretta autorità del datore di lavoro sui suoi dipendenti. Se può essere pertanto ipotizzabile una nomina quale incaricato nei confronti di un collaboratore interno della società titolare del trattamento, appare veramente inverosimile la nomina di incaricati di società terze con le quali si collabora! Oltretutto le nomine d'incaricato al trattamento generano "responsabilità dirette" in capo al titolare che risponderebbe pertanto "direttamente" di violazioni nel trattamento da parte di incaricati nei confronti dei quali non ha materialmete nessuna possibilità di controllo.
E' invece certamente corretta la nomina della società terza quale "responsabile in outsourcing" nel trattamento dei dati. Sarà così compito del responsabile in outsourcing nominare i propri incaricati che si dovranno attenere alle istruzioni impartite dal responsabile, il quale potrà sorvegliarli nel trattamento dei dati (anche sulla base di quanto scritto dal titolare nella sua lettera di nomina del responsabile in outsourcing).
Ovviamente anche la lettera di nomina di una società terza quale responsabile in outsourcing genera responsabilità in capo al titolare:
1) culpa in eligendo: nel momento in cui il responsabile era persona palesemente inaffidabile per quel tipo di trattamento di dati;
2) culpa in vigilando: nel momento in cui il titolare non ha vigilato, anche con istruzioni fornite per iscritto, sul correttio trattamento che il responsabile ha fatto dei dati personali forniti.
Tali responsabilità sono direttamente previste nell'art. 29 dedicato al responsabile (interno ed esterno) al trattamento dei dati, il quale può infatti essere sia una persona fisica sia una persona giuridica: "1. Il responsabile e' designato dal titolare facoltativamente. 2. Se designato, il responsabile e' individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni."
Rimane in piedi un'ultima ipotesi e, cioè, strutturare bene un contratto di collaborazione/prestazione di servizi con l'altra società, nel quale non si nomini espressamente questa società quale responsabile del trattamento, ma la si indichi semplicemente quale titolare autonomo (o eventualmente contitolare nel trattamento) e le si chieda soltanto (o meglio la si informi del dovere) di attenersi alle regole del corretto trattamento dei dati come previste dal D. Lgs. 196/2003. In quest'ultimo caso, la "società terza" manterrebbe una maggiore autonomia nei confronti della "società titolare principale del trattamento" e questo consentirebbe a quest'ultima una maggiore deresponsabilizzazione in caso di violazioni privacy effettuate dalla società esterna. Naturalmente sarebbe specifico dovere del titolare informare ex art. 13 gli interessati (dipendenti) di tutti queste comunicazioni di dati verso società esterne.

19/03/2006

Andrea Lisi

Stampa in formato pdf

Sito fondato da Andrea Lisi	© Copyright 2012 - ScintLex.it - Tutti i diritti riservati	Note legali