Il subappalto responsabile esterno trattatamento
Quali gli obblighi per il titolare del trattamento e quali quelli del responsabile nell'ambito del subappalto? I provvedimenti del Garante Privacy
Nel mercato ICT, data la necessità di soggetti sempre più specializzati, ormai da tempo si sta assistendo ad un ricorso massiccio alla figura dell’appalto o, come oggi si preferisce chiamarlo, dell’outsourcing.
Tale fenomeno ha comportato un’immediata ricaduta in termini di corretta gestione e trattamento delle informazione sotto il profilo della tutela dei dati personali.
In tema di appalto il Garante Privacy è spesso intervenuto con propri provvedimenti precisando e sottolineando che in presenza di un contratto di outsourcing. Spesso si parla in questo caso di nomina del responsabile esterno al trattamento. I provvedimenti in tale ambito sono molti come anche le pronunce emesse a seguito dell’attività ispettiva del Nucleo Speciale Privacy della Guardia di Finanza
.
Particolari questoni presenta il subappalto. Sotto il profilo del trattamento dei dati personali, infatti, il subappalto comporta notevoli problemi che, nella pratica quotidiana, spesso inducono le aziende a compiere scelte che possono anche risultare rischiose.
Il problema in ottica privacy è caprire quale sia il ruolo del subappaltatore quando venga a trattare dati personali riconducibili al committente (dipendenti, fornitori, partner commerciali, clienti, ecc.).
Per il codice privacy all’art. 29 il titolare del trattamento (il committente) ha il potere di nominare un responsabile del trattamento (cioè l’appaltatore), vietando che a sua volta questi possa nominare un altro responsabile del trattamento (il subappaltatore).
Nella pratica si assiste all’adozione delle soluzioni più disparate: sia il caso in cui si evita qualsiasi nomina, sia l’ipotesi in cui il committente che procede a nominare tutti i soggetti con cui viene in contatto (quindi sia l’appaltatore che il subappaltatore) come responsabili (esterni) al trattamento.
Sebbene in presenza di un subappalto non nasce alcun vincolo contrattuale tra committente e subappaltatore, tuttavia un formale atto di nomina [a responsabile esterno del trattamento] mette inevitabilmente in relazione i due soggetti: da una parte il subappaltatore assumerebbe direttamente nei confronti del committente delle responsabilità che invece non gli sono proprie dovendo essere individuate in capo all’appaltatore; dall’altra il committente si troverebbe quanto meno a dover affrontare oneri aggiuntivi e vincoli contrattuali qualora l’appaltatore non rispetti i propri impegni nei confronti del subappaltatore.
Il Garante tuttavia ha già da tempo chiarito con un provvedimento del 2012 (doc. web n. 2276103) che il responsabile esterno al trattamento, nominato dal committente, deve essere identificato soltanto nell’appaltatore. Sarà preoccupazione di quest’ultimo stringere gli opportuni accordi con il subappaltatore trasferendo sullo stesso, in ragione e nei limiti del suo operato, le responsabilità inerenti al suo ruolo. Il Garante sostanzialmente contrattualizza la figura del responsabile esterno al trattamento, suggerendo di trasferire in un accordo quegli obblighi che il d.lgs 196/203 pone a carico appunto del processor.
Schematizzando: il committente nominerebbe quale responsabile esterno al trattamento dei dati personali l’appaltatore; quest’ultimo, anziché mediante un’ulteriore nomina (perché come detto, ciò è vietato dalla norma), obbligherà, nell’ambito del contratto di subappalto, il subappaltatore a rispettare i medesimi vincoli cui l’appaltatore è soggetto in ragione della nomina ricevuta.
E’ bene anche precisare che sulla base della ricostruzione suggerita dal Garante e sopra nel caso in cui il subappaltatore ponga in essere comportamenti illeciti riconducili gli obblighi del responsabili esterno del trattamento allo stesso riconducibile e cioè l’appaltatore suo committente, quest’ultimo, in linea di principio e salvo ulteriori comportamenti non conformi alla legge, non potrà che agire a propria tutela nei confronti del solo appaltatore il quale a sua volta agirà in rivalsa (o chiamerà in manleva) il subappaltatore autore dell’illecito.
A conclusione di questo articolo vale la pena sottolineare che l’art. 22 della bozza di regolamento generale sulla protezione dei dati, che si prevede venga approvata nel corso del 2016, sembrerebbe (l’ipotetica è d’obbligo) prevedere invece tale possibilità.
Tale fenomeno ha comportato un’immediata ricaduta in termini di corretta gestione e trattamento delle informazione sotto il profilo della tutela dei dati personali.
In tema di appalto il Garante Privacy è spesso intervenuto con propri provvedimenti precisando e sottolineando che in presenza di un contratto di outsourcing. Spesso si parla in questo caso di nomina del responsabile esterno al trattamento. I provvedimenti in tale ambito sono molti come anche le pronunce emesse a seguito dell’attività ispettiva del Nucleo Speciale Privacy della Guardia di Finanza
.
Particolari questoni presenta il subappalto. Sotto il profilo del trattamento dei dati personali, infatti, il subappalto comporta notevoli problemi che, nella pratica quotidiana, spesso inducono le aziende a compiere scelte che possono anche risultare rischiose.
Il problema in ottica privacy è caprire quale sia il ruolo del subappaltatore quando venga a trattare dati personali riconducibili al committente (dipendenti, fornitori, partner commerciali, clienti, ecc.).
Per il codice privacy all’art. 29 il titolare del trattamento (il committente) ha il potere di nominare un responsabile del trattamento (cioè l’appaltatore), vietando che a sua volta questi possa nominare un altro responsabile del trattamento (il subappaltatore).
Nella pratica si assiste all’adozione delle soluzioni più disparate: sia il caso in cui si evita qualsiasi nomina, sia l’ipotesi in cui il committente che procede a nominare tutti i soggetti con cui viene in contatto (quindi sia l’appaltatore che il subappaltatore) come responsabili (esterni) al trattamento.
Sebbene in presenza di un subappalto non nasce alcun vincolo contrattuale tra committente e subappaltatore, tuttavia un formale atto di nomina [a responsabile esterno del trattamento] mette inevitabilmente in relazione i due soggetti: da una parte il subappaltatore assumerebbe direttamente nei confronti del committente delle responsabilità che invece non gli sono proprie dovendo essere individuate in capo all’appaltatore; dall’altra il committente si troverebbe quanto meno a dover affrontare oneri aggiuntivi e vincoli contrattuali qualora l’appaltatore non rispetti i propri impegni nei confronti del subappaltatore.
Il Garante tuttavia ha già da tempo chiarito con un provvedimento del 2012 (doc. web n. 2276103) che il responsabile esterno al trattamento, nominato dal committente, deve essere identificato soltanto nell’appaltatore. Sarà preoccupazione di quest’ultimo stringere gli opportuni accordi con il subappaltatore trasferendo sullo stesso, in ragione e nei limiti del suo operato, le responsabilità inerenti al suo ruolo. Il Garante sostanzialmente contrattualizza la figura del responsabile esterno al trattamento, suggerendo di trasferire in un accordo quegli obblighi che il d.lgs 196/203 pone a carico appunto del processor.
Schematizzando: il committente nominerebbe quale responsabile esterno al trattamento dei dati personali l’appaltatore; quest’ultimo, anziché mediante un’ulteriore nomina (perché come detto, ciò è vietato dalla norma), obbligherà, nell’ambito del contratto di subappalto, il subappaltatore a rispettare i medesimi vincoli cui l’appaltatore è soggetto in ragione della nomina ricevuta.
E’ bene anche precisare che sulla base della ricostruzione suggerita dal Garante e sopra nel caso in cui il subappaltatore ponga in essere comportamenti illeciti riconducili gli obblighi del responsabili esterno del trattamento allo stesso riconducibile e cioè l’appaltatore suo committente, quest’ultimo, in linea di principio e salvo ulteriori comportamenti non conformi alla legge, non potrà che agire a propria tutela nei confronti del solo appaltatore il quale a sua volta agirà in rivalsa (o chiamerà in manleva) il subappaltatore autore dell’illecito.
A conclusione di questo articolo vale la pena sottolineare che l’art. 22 della bozza di regolamento generale sulla protezione dei dati, che si prevede venga approvata nel corso del 2016, sembrerebbe (l’ipotetica è d’obbligo) prevedere invece tale possibilità.
Articolo del: