I dipendenti di un ente non possono essere nominati responsabili del trattamento
Abstract: Negli enti pubblici, soprattutto negli enti locali e nelle scuole, si è diffusa l’usanza di considerare e, addirittura di nominare, come responsabili del trattamento i dirigenti e/o i responsabili degli uffici e dei servizi. Eppure è logico che chi forma la volontà del titolare del trattamento non può essere distinto da esso, com’é intesa la figura del respoinsabile del trattamento dei dati, ed è chiara anche la normativa che richiede appositamente un contratto specifico che leghi il titolare al responsabile del trattamento, aspetto che esclude, a fortiori, i dipendenti di un ente pubblico dal poter ricoprire tale incarico.
Keywords: #privacy #protezionedatipersonali #GDPR #titolaredeltrattamento #responsabiledeltrattamento #titolaretrattamento #responsabiletrattamento #privacyscuola #privacyentilocali #privacypa #massimilianomancini #ethicasocietas #ethicasocietasupli #rivistascientifica #scienzeumane #scienzesociali #ethicasocietasupli
Il responsabile del trattamento nella concezione normativa europea
Com’é noto il responsabile del trattamento dei dati è chi “tratta dati personali per conto del titolare del trattamento” (art. 4 par. 1 p. 8 GDPR1 e art. 2 c. 1 lett. i D.lgs.51/20182) e quindi il suo ruolo si distingue da quello del titolare del trattamento (art. 4 par. 1 p. 7 GDPR3 e art. 2 c. 1 lett. h D.lgs.51/20184) poiché, come esprime il combinato disposto delle definizioni delle due figure nel GDPR, il responsabile non definisce le finalità e i mezzi del trattamento bensì, non disponendo di alcuna discrezionalità, si limita ad attuarlo con i mezzi messi a disposizione dal titolare e per le finalità da esso definite, sebbene nell’ambito di essi abbia autonomia organizzativa e non un mero ruolo esecutivo come invece accade per i soggetti autorizzati/designati al trattamento (art. 2-quaterdecies Codice della privacy).
La distinzione tra le figure di titolare e di responsabile del trattamento è netta e precisa nella normativa e, pertanto, lo stesso soggetto, giuridico o fisico che sia, non può ricoprire entrambi i ruoli e ciò vale anche nel rapporto tra le persone fisiche che formano la volontà della persona giuridica titolare del trattamento.
Chi forma la volontà del titolare del trattamento non può esserne responsabile del trattamento
La volontà degli enti e, in generale, delle persone giuridiche si forma attraverso i propri organi politici (per gli enti locali vds. art. 36 TUEL).
I membri degli organi di governo degli enti pubblici (pubblica amministrazione centrale, enti locali, istituti scolastici) determinano collegialmente le finalità generali e, a livello di programmazione, i mezzi impiegati per i trattamenti svolti dalla persona giuridica -titolare del trattamento- della quale formano la volontà.
Gli organi amministrativi degli enti pubblici (dirigenti, responsabili degli uffici e dei servizi, DSGA) determinano concretamente le finalità e i mezzi impiegati per i trattamenti, in applicazione degli indirizzi generalidefiniti dagli organi di governo.
In virtù del rapporto di incardinazione la volontà individuale dei soggetti che formano ed esprimono la volontà dell’ente pubblico si fonde e confonde con quella dell’ente-titolare del trattamento che rappresentano. Evidentemente non ne possono essere distinti per esserne considerati meri esecutori delle scelte del titolare e quindi responsabili del trattamento (art. 4 par. 1 p. 8 GDPR), ossia meri esecutori delle scelte del titolare e quindi responsabili del trattamento (art. 4 par. 1 p. 8 GDPR).
In particolare non possono essere responsabili del trattamento i dirigenti e i responsabili degli uffici e dei servizi degli enti locali e i dirigenti scolastici e DGSA delle scuole
Negli enti locali in particolare, i dirigenti per i rispettivi ambiti di competenza (art. 107 TUEL), i titolari di posizione organizzativa-PO o elevata qualificazione-EQ (CCNL) e i responsabili degli uffici, il segretario generale (art. 97 c. 4 TUEL) ovvero il direttore generale qualora sia stato nominato (art. 108 TUEL) e laddove non si limiti a coordinare e sovrintendere allo svolgimento delle funzioni dei dirigenti ma disponga anche di propria autonomia gestionale in ordine ai trattamenti dei dati personali, così come i dirigenti scolastici e i direttori dei servizi tecnici e amministrativi delle scuole, hanno la direzione amministrativa degli uffici e dei servizi e il potere di spesa esecutivo, sebbene entro i limiti generali risorse umane e di bilancio e degli indirizzi politici definiti dagli organi istituzionali rispetto i quali, però, non hanno un rapporto gerarchico ma una responsabilità meramente gestionale che gli lascia ampi spazi di discrezionalità e autonomia per definire le finalità e i mezzi del trattamento (art. 4 par. 1 p. 7 GDPR) formando la volontà del titolare del trattamento istituzionale/persona giuridica.
Il processo di nomina dei responsabili del trattamento dei dati
Il GDPR prevede che i i titolari del trattamento, nominano quali responsabili del trattamento (art. 4 par. 1 p. 8 GDPR) i soggetti pubblici o privati affidatari di attività e servizi o che, per la loro realizzazione, rendano necessario il trattamento di dati personali per conto dell’ente (stato, comune, provincia, regione, scuola) ovvero i soggetti terzi che li trattano nell’interesse dell’ente pubblico sulla base di specifiche convenzioni. I responsabili del trattamento sono nominati tra soggetti che forniscono le garanzie di cui all’art. 28 par. 1 GDPR5.
Chi ha nominato il responsabile al trattamento dei dati personali provvede anche a dare adeguate istruzioni per lo svolgimento dei trattamenti nel contratto di affidamento o con separato atto giuridico che definisca la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati oltre agli obblighi che il responsabile si impegna a rispettare con la sottoscrizione.
Possono ricoprire il ruolo di responsabile del trattamento dei dati solo soggetti esterni e mai dipendenti del titolare
Il ruolo dei responsabili al trattamento si deve ritenere ammissibile solo per soggetti esterni all’ente, poiché la normativa europea prevede (art. 28 par. 3 GDPR) che essi debbano essere vincolati al titolare da un contratto specifico finalizzato al trattamento e che lo stesso atto debba disciplinare specificatamente tutti gli aspetti del trattamento (durata, natura, finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e i diritti del titolare), che il ruolo sia attribuito solo previa valutazione da parte del titolare della capacità di “mettere in atto misure tecniche e organizzative adeguate” (art. 28 par. 1 GDPR6).
Quindi ciò esclude i lavoratori dipendenti, essi infatti hanno già il CCNL ed esso definisce in maniera eguale per ogni livello verticale il mansionario rispetto il quale non possono essere oggetto di ulteriore valutazione, ma anche coloro i quali formano e attuano la volontà del titolare del trattamento, ossia gli organi politici e i vertici amministrativi, che si troverebbero a disciplinare il ruolo e a valutare l’idoneità di sé stessi.
ABBREVIAZIONI
CCNL: Contratto collettivo nazionale di lavoro del comparto Funzioni Locali, attualmente vigente nella versione sottoscritta il 16 novembre 2022 per il triennio 2019-2021.
Codice della privacy: decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” come modificato dal D.lgs. 10 agosto 2018 n. 101.
D. lgs.51/2018: decreto legislativo 18 maggio 2018, n. 51 “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.
GDPR: Regolamento europeo n. 679 del 27 aprile 2016 “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), titolo originale Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) da cui l’acronimo GDPR.
TUEL: decreto legislativo 18 agosto 2000 n. 267 “Testo unico delle leggi sull’ordinamento degli enti locali.” e successive modificazioni e integrazioni.
[1] Reg. UE 2016/679 GDPR art. 7, par. 1 p. 8 «…omissis…la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;».
[2] D.lgs.51/2018 art. 2 «1.Ai fini del presente decreto, si applicano le seguenti definizioni: …omissis… i) responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;».
[3] GDPR art. 7-Definizioni, par. 1 p. 7 «…omissis…la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; …omissis…».
[4] D.lgs.51/2018 art. 2 (Definizioni) «1. Ai fini del presente decreto, si applicano le seguenti definizioni: …omissis…h) titolare del trattamento: l’autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione europea o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell’Unione europea o dello Stato;».
[5] GDPR art. 28 «1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.».
[6] GDPR art. 28 (Responsabile del trattamento) «3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento …omissis…».
GLI ULTIMI 5 ARTICOLI SULLA PRIVACY
I PRINCIPI DEL GDPR SI ATTUANO ANCHE IN AMBITO GIUDIZIARIO (Cassazione 6116/2023)
LA VIDEOSORVEGLIANZA LEGALE ANCHE CON I DRONI ALLA GIORNATA DI STUDIO DI PADOVA [CON VIDEO]
LA TUTELA DELL’AMBIENTE NEL RISPETTO DELLA PRIVACY AL CONVEGNO DI SEGNI [CON VIDEO]
12.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI SALENTO (SA)
6.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI VILLABATE (PA)
GLI ULTIMI 5 ARTICOLI DI MASSIMILIANO MANCINI
LA PERICOLOSA DERIVA POPULISTICA DEI TRIBUNALI DEI SOCIAL
ROMA PRIDE 2023 TRA DIRITTI CIVILI E IDEOLOGIE POLITICHE
CAPIRE LA GUERRA IN UCRAINA: 3) DALLA SOTTOMISSIONE SOVIETICA ALL’INDIPENDENZA ODIERNA
CAPIRE LA GUERRA IN UCRAINA: 2) DALLA SECONDA GUERRA MONDIALE ALLA DOMINAZIONE RUSSA
IL GIORNO DEL RICORDO DI UN GENOCIDIO NEGATO SE NON GIUSTIFICATO
GLI ULTIMI 5 ARTICOLI PUBBLICATI
IL NUOVISSIMO CODICE DELLA STRADA
ALTRE APPLICAZIONI GENEROSE DELLA PARTICOLARE TENUITÀ DEL FATTO
L’UNICA DOMANDA DA PORSI SULL”INTELLIGENZA ARTIFICIALE”
LE ANTICIPAZIONI PIÙ AGGIORNATE SULLA RIFORMA DEL CDS-parte 4
LE ANTICIPAZIONI PIÙ AGGIORNATE SULLA RIFORMA DEL CDS-parte 3
Copyright Ethica Societas, Human&Social Science Review © 2023 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0 
