Il Responsabile Inesistente non è un tentativo di riedizione di un’opera di Calvino, ma il precipitato logico e normativo di alcune procedure di “nomina” (o, per meglio dire: di identificazione e di regolazione dei rapporti) del responsabile del trattamento.
Ecco i tre errori più comunemente riscontrati nel corso delle attività di verifica documentale.
C’è chi qualifica come responsabile del trattamento qualsiasi destinatario dei dati. Insomma: diventa la notte delle vacche nere di hegeliana memoria: se chiunque riceve i dati da parte del titolare del trattamento è responsabile, allora si confondono i ruoli di responsabile e destinatario dei dati, arrivando al paradosso di chi intende regolare i rapporti persino con enti pubblici (es. INPS o Agenzia delle Entrate) ai sensi dell’art. 28 GDPR, o con il provider di telefonia. Occorre ricordare che destinatario dei dati è, ai sensi della definizione fornita dall’art. 4.1 n. 9) GDPR, chiunque “riceve comunicazione di dati personali, che si tratti o meno di terzi” e dunque vero è che tutti i responsabili del trattamento sono destinatari dei dati, ma non tutti i destinatari dei dati sono necessariamente responsabili del trattamento
Pratica maggiormente comune, invece, è l’indicazione di uno o più soggetti facenti parte dell’organizzazione, come responsabili interni. Spesso tali soggetti hanno funzioni direzionali ed un margine di autonomia decisionale, ma sono comunque parte dell’assetto organizzativo del titolare e per l’effetto non possono trattare dati “per conto”, bensì svolgono operazioni di trattamento “sotto l’autorità”. Non c’è quel distacco richiesto per lo svolgimento dell’attività in outsourcing con una distinzione di responsabilità, ma si tratta di un’assegnazione di compiti e funzioni che è una misura organizzativa predisposta dal titolare del trattamento designando taluni soggetti ai sensi dell’art. 2-quaterdecies Cod. Privacy. A differenza dell’attività di trattamento svolta da un responsabile, in questo caso il titolare del trattamento resta comunque responsabile sia ai fini risarcitori nei confronti degli interessati che nell’ambito sanzionatorio qualora dall’agire del soggetto designato siano generate delle violazioni del GDPR.
Una menzione particolare merita invece l’artificiosa figura del responsabile del trattamento non autorizzato all’accesso ai dati, spesso assegnata al personale esterno che si occupa della pulizia degli ambienti aziendali. Prevale l’impiego del “non”: non è autorizzato ad accedere ad alcun dato, non è autorizzato a svolgere operazioni sui dati, non è autorizzato a trasferirli a soggetti terzi o diffonderli, non è autorizzato a trasferirli al di fuori dello SEE, et cetera. Il picco del paradosso viene raggiunto nel momento in cui si impone a tale soggetto la tenuta del registro del responsabile, la cui redazione e compilazione può senza dubbio sfociare in un’opera dada.
Il parere n. 1/2010 dell’art. 29WP sui concetti di titolare e responsabile del trattamento rimane tutt’ora la principale chiave interpretativa di tali ruoli in quanto compatibile con il GDPR, come confermato dall’adozione da parte dell’EDPS delle Linee Guida sui concetti di titolare, responsabile e contitolarità sotto il Reg. (UE) 2018/1725 che regola la disciplina in materia di protezione dei dati personali negli ambiti di trattamento svolti da parte di istituzioni, organi e organismi dell’Unione.
Insomma: la norma esiste ed è chiara a riguardo tanto nell’identificazione dei soggetti che nella regolazione dei rapporti intercorrenti fra gli stessi. Prima di sfociare in teorie singolari, interpretazioni suggestive ed applicazioni creative, è preferibile un approccio che prediliga studio e metodo per l’applicazione della norma al contesto operativo.
