Close
Dati-personali-trattamento

Dati personali: chi è il responsabile del trattamento?

Protezione dei dati personali: affinché ricorra la figura del “responsabile del trattamento”, in caso di proposizione di un soggetto al trattamento dei dati su incarico del “titolare”, è necessario che l’effettivo trattamento dei dati da parte del preposto si svolga nell’osservanza delle istruzioni impartite dal “titolare”, con la conseguenza che, ove non vi sia tale osservanza, il “responsabile” potrà essere riconosciuto come effettivo “titolare”, responsabile in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare.

Il Garante per la protezione dei dati personali aveva ingiunto, ex D.Lgs. 30 giugno 2003, ex art. 152, n. 196, ad una società il pagamento di una sanzione amministrativa per avere svolto trattamenti di dati personali finalizzati all’attivazione di alcune schede telefoniche, intestate a cinque persone a loro insaputa e, quindi, senza aver reso agli stessi l’informativa di cui al D.Lgs. n. 196 del 2003, art. 13, prima della raccolta dei dati personali.


Orbene, sorvolando sulle vicende processuali, è interessante evidenziare quanto ricordato in tema dalla Corte di Cassazione.


Alla stregua delle previsioni contenute nel D.Lgs. n. 196 del 2003, i dati personali oggetto del trattamento debbono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.


La liceità del trattamento, inoltre, trova fondamento pure nella finalità del medesimo, quest’ultima costituendo un vero e proprio limite intrinseco del trattamento lecito dei dati personali, che fonda l’attribuzione all’interessato del potere di relativo controllo (tanto con riferimento alle finalità originarie che ai successivi impieghi), con facoltà di orientarne la selezione, la conservazione e l’utilizzazione.


Quanto al “titolare” del trattamento di dati personali, ciò che lo contraddistingue è il potere decisionale, quale soggetto “cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”, come si evince dal D.Lgs. n. 196 del 2003, art. 4, lett. f).
Il “titolare” può designare un preposto per lo svolgimento delle attività di trattamento, definito “responsabile”, da individuare tra i soggetti che garantiscano il pieno rispetto delle disposizioni vigenti, al quale deve affidare compiti analiticamente specificati per iscritto, ed il “responsabile” deve effettuare il trattamento attenendosi alle istruzioni impartite dal titolare, sulla cui osservanza il “titolare” deve vigilare (art. 4, lett. g), e art. 29 D.Lgs. cit. (nel testo vigente anteriormente alle modifiche introdotte dalla L. 20 novembre 2017, n. 167, art. 28).


Alla luce della lettura coordinata delle disposizioni appena richiamate, è possibile affermare che il preposto assume e mantiene la posizione di “responsabile” del trattamento, non solo in ragione del conferimento dell’incarico, ma anche, e necessariamente, dell’espletamento dell’incarico secondo le istruzioni impartitegli dal “titolare” nell’esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l’esecuzione del trattamento dei dati.


Ciò perché l’accordo intercorrente tra il “titolare” ed il “responsabile” è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell’eventuale inadempimento contrattuale – come erroneamente sostiene la ricorrente -, perché la disciplina ivi dettata dal “titolare”, in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di “responsabile” nel caso concreto.


Ne consegue che può far valere la qualità di “responsabile del trattamento” solo il soggetto che sia stato preposto al trattamento dal “titolare” e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne consegue che ove ciò non avvenga, il “responsabile” potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare”.


Le modifiche apportate all’art. 29 (introduzione del comma 4 bis e modifica comma 5) dalla L. n. 167 del 2017, art. 28, anche se non applicabili al caso in esame, confermano tale approdo, in quanto meglio esplicitano a cosa siano distintamente tenuti i “titolari” e i “responsabili” stabilendo “I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento….Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4 bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4 bis.”.


Si deve pertanto affermare che in tema di protezione dei dati personali, affinché ricorra il fatto del responsabile del trattamento, ai sensi dell’art. 4, lett. g), e del D.Lgs. n. 196 del 2003, art. 29, sia nel testo applicabile ratione temporis, anteriore alle modifiche apportate dalla L. n. 167 del 2017, che in quello modificato, in caso di preposizione di un soggetto al trattamento dei dati su incarico del titolare, è necessario che l’effettivo trattamento dei dati da parte del preposto si svolga nell’osservanza delle istruzioni impartite dal titolare, con la conseguenza che, ove non vi sia tale osservanza, il responsabile potrà essere riconosciuto come effettivo titolare, responsabile in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare.

Cass. civ., Sez. I, 23 luglio 2021, n. 21234


Redazione A-I.it Avvocati Associati

Read in this month : 22

Condividi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *