Il Responsabile può essere “…designato dal titolare facoltativamente”(art. 29.1 – D.Lgs 196/03) e “Se designato…è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle… disposizioni in materia di trattamento…compreso il profilo relativo alla sicurezza” (art. 29.2 – D.Lgs 196/03).
Nel caso del Responsabile Esterno, quindi, il Titolare deve selezionare preventivamente e accuratamente il soggetto che intende mettere a capo di un trattamento di dati personali, ed in particolare deve valutarne la politica aziendale in merito alla tutela dei dati personali, la sicurezza delle informazioni e il sistema di gestione privacy adottato.
Il titolare, inoltre, può liberamente decidere che “Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.” (art. 29.3 –D.Lgs 196/03).
Il titolare, perciò, una volta selezionati i Responsabili, deve provvedere a nominarli definendo nel dettaglio attività, modalità e ambito di trattamento che intende loro delegare (“I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.”art. 29.4 – D.Lgs 196/03) e organizzarsi per la verifica del rispetto delle funzioni delegate e delle istruzioni impartite (“Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza...” art. 29.5 - D.Lgs. 196/03).
La nomina del Responsabile è qualificabile come un negozio giuridico costitutivo con il quale il titolare esprime una dichiarazione di volontà recettizia espressa, che comporta l’assunzione di determinate obbligazioni per le parti (assegnazione di compiti e verifica della loro osservanza per il titolare; rispetto delle istruzioni impartite per il responsabile) e che ha come scopo l’adempimento di un obbligo di legge.
Oggetto del negozio è la definizione di compiti e istruzioni per il trattamento di dati personali ed in particolare la precisazione delle finalità, delle modalità e del profilo di sicurezza da rispettare nell’attività delegata.
La forma deve essere obbligatoriamente quella scritta così come previsto per legge ex art. 29.4 del Codice Privacy.
Tale negozio giuridico può essere ricondotto alla figura negoziale del contratto, ed in particolare alla disciplina relativa al mandato:
- Art. 1703 C.C. “Il mandato e' il contratto col quale una parte (mandatario) si obbliga a compiere uno o più atti giuridici per conto dell'altra (mandante).”
- Art. 1708 C.C. – Contenuto del Mandato: “Il mandato comprende non solo gli atti per i quali e' stato conferito, ma anche quelli che sono necessari al loro compimento. Il mandato generale non comprende gli atti che eccedono l'ordinaria amministrazione, se non sono indicati espressamente.”
- Art. 1710 C.C. - Diligenza del Mandatario: “Il mandatario e' tenuto a eseguire il mandato con la diligenza del buon padre di famiglia… Il mandatario è tenuto a rendere note al mandante le circostanze sopravvenute che possono determinare a revoca o la modificazione del mandato.”
- Art. 1711 C.C. - Limiti del Mandato: “Il mandatario non può eccedere i limiti fissati nel mandato. L'atto che esorbita dal mandato resta a carico del mandatario, se il mandante non lo ratifica. Il mandatario può discostarsi dalle istruzioni ricevute qualora circostanze ignote al mandante, e tali che non possano essergli comunicate in tempo, facciano ragionevolmente ritenere che lo stesso mandante avrebbe dato la sua approvazione.”
- Art. 1713 C.C. – Obbligo di Rendiconto: “Il mandatario deve rendere al mandante il conto del suo operato...”
- Art. 1717 C.C. – Sostituto del Mandatario: “Il mandatario che, nell'esecuzione del mandato, sostituisce altri a se stesso, senza esservi autorizzato o senza che ciò sia necessario per la natura dell'incarico, risponde dell'operato della persona sostituita… Il mandatario risponde delle istruzioni che ha impartite al sostituto. Il mandante può agire direttamente contro la persona sostituita dal mandatario.”
- Art. 1722 C.C. – Cause di Estinzione: “Il mandato si estingue: 1) per la scadenza del termine o per il compimento, da parte del mandatario, dell'affare per il quale e' stato conferito - 2) per revoca da parte del mandante - 3) per rinunzia del mandatario - 4) per la morte, l'interdizione o l'inabilitazione del mandante o del mandatario. Tuttavia il mandato che ha per oggetto il compimento di atti relativi all'esercizio di un'impresa non si estingue, se l'esercizio dell'impresa è continuato, salvo il diritto di recesso delle parti o degli eredi.”
In generale quindi la nomina a responsabile può essere ricondotta al modello del mandato in quanto il soggetto esterno (mandatario) si obbliga a compiere una o più operazioni di trattamento per conto del titolare (mandante).
Qualora invece il titolare, per la peculiarità dell’attività affidata all’esterno, abbia necessità di conferire al responsabile, contestualmente alla nomina, anche la rappresentanza (art. 1704 C.C.) dovrà obbligatoriamente ricorrere alla procura.
Il titolare ha fondamentalmente due opzioni per effettuare un trattamento di dati personali:
- “Internalizzare il trattamento” ovvero svolgere il trattamento all’interno della propria struttura organizzativa e giuridica;
- “Esternalizzare il trattamento” ovvero affidare il trattamento in esterno a soggetti terzi instaurando un rapporto di tipo contrattuale cliente/fornitore;
Le principali forme contrattuali utilizzabili dal titolare per disciplinare le attività di trattamento da affidare all’esterno, possono essere ricondotte, a seconda del tipo di funzione delegata, alle seguenti tipologie:
- Contratto di Appalto di Servizi
“L'appalto e' il contratto col quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento… di un servizio verso un corrispettivo in danaro.” (Art. 1655 C.C.).
Il titolare deve ricorrere a questo tipo di contratto ogni qualvolta intenda affidare a terzi l’esecuzione di attività che possano prevedere per il loro compimento anche il trattamento di dati personali.
In questo caso quindi l’appaltatore è un vero e proprio imprenditore che, impiegando capitali e mezzi propri, si assume tutti i rischi connessi all’erogazione di tali servizi. Egli risponde quindi dell’operato dei propri dipendenti e dei danni eventualmente causati da questi verso terzi.
Sotto questa categoria possono essere classificate fondamentalmente due tipologie di contratto di servizi:
-
- Appalto di Servizi con trattamento di dati personali (quale ad esempio l’appalto per il servizio di mailing): in questo caso l’appaltatore dovrà essere obbligatoriamente nominato responsabile esterno.
- Appalto di Servizi senza trattamento di dati personali (quale per esempio l’appalto per il servizio di pulizia locali): in tal caso l’appaltatore non dovrà essere nominato responsabile, ma potrà eventualmente essere inquadrato come “Addetto Esterno ai Servizi” qualora abbia accesso ai locali ma non sia autorizzato al trattamento di dati personali.
- Contratto d’Opera
Il contratto d’opera si realizza ogni qualvolta“…una persona si obbliga a compiere verso un corrispettivo un'opera o un servizio, con lavoro prevalentemente proprio e senza vincolo di subordinazione nei confronti del committente…” (Art. 2222 C.C.).
Il contratto d’opera si differenzia dall’appalto fondamentalmente per i seguenti motivi:
- l’attività è svolta con “lavoro prevalentemente proprio”
- il prestatore d’opera non dispone di una vera e propria organizzazione imprenditoriale.
Nel caso che l’attività affidata preveda un trattamento di dati personali, il titolare dovrà perciò provvedere a nominare anche il prestatore d’opera responsabile esterno.
- Contratto di Outsourcing
Il contratto di outsourcing è un negozio giuridico di origine anglosassone che deriva dalla prassi di Common Law e che non trovando una disciplina specifica nel nostro ordinamento rientra nei contratti atipici.
Non esistendo quindi un modello negoziale di riferimento, si tende a regolare il contratto di outsourcing secondo gli schemi giuridici dei contratti d’appalto, d’opera e di subfornitura.
Il termine “outsourcing” trae origine dalla fusione delle due parole inglesi “outside” e “resourcing” e consiste in un’operazione di decentramento produttivo tramite il quale un titolare decide di far svolgere a soggetti terzi attività che, in precedenza, erano svolte internamente utilizzando risorse materiali e immateriali proprie.
L'outsourcing quindi si differenzia dall'appalto di servizi proprio per il fatto che mentre nell'appalto si affidano all’esterno attività che tecnicamente non possono essere svolte all'interno, nell'outsourcing si esternalizzano attività che sono già in corso di svolgimento in azienda.
Pertanto ogni qualvolta un titolare decida di adottare l’outsourcing dovrà nominare il fornitore responsabile esterno.
Il processo di esternalizzazione può assumere varie graduazioni sino ad arrivare alla cessione dell’intero ramo aziendale.
Nel caso in cui un titolare opti per l’esternalizzazione di un trattamento, dovranno essere sempre rispettate le seguenti regole:
- selezione accurata e preventiva del soggetto che si intende mettere a capo del trattamento.
- approfondita valutazione della politica aziendale in merito alla tutela dei dati personali, alla sicurezza delle informazioni e al sistema di gestione privacy che il soggetto selezionato ha adottato.
- nomina formale a responsabile del soggetto prescelto con dettagliata definizione di attività, modalità e ambito di trattamento che si intende delegare.
- comunicazione agli interessati della nuova modalità di trattamento definita.
- implementazione di una procedura per la puntuale verifica del rispetto delle funzioni delegate e delle istruzioni impartite al responsabile.