Domanda
Ho un dubbio circa gli accertamenti periodici da parte del titolare in merito alle funzioni delegate e alle istruzioni impartite al responsabile esterno (ad es. il commercialista, il consulente del lavoro, ecc.), nominato ai sensi dell'art. 29 del D.Lgs. 196/03. Come può essere fatto tale accertamento? Basta una semplice autocertificazione da parte del responsabile esterno, oppure il titolare può spingersi oltre, chiedendo addirittura copia o estratto del DPS?
Risposta
Marcello Polacchini
Il soggetto esterno (il cd. "outsourcer") può essere inquadrato come "responsabile esterno del trattamento" solo se c'è stata una nomina formale per iscritto da parte del titolare. In questo caso, i trattamenti di dati fatti dal soggetto esterno ricadono sotto la giurisdizione del titolare e il responsabile non ha ampi poteri decisionali in merito alle tipologie di trattamento da eseguire e alle loro modalità. In sostanza, l'outsourcer si deve limitare a eseguire i trattamenti indicati dal titolare, rispettando le istruzioni impartitegli per la sicurezza dei dati affidatigli.
Nel caso in cui decida di nominare il soggetto esterno formalmente "responsabile", sul titolare viene a gravare l'obbligo di vigilare sulla puntuale osservanza delle disposizioni a esso impartite, anche tramite verifiche periodiche (v. art. 29, comma 5). Si tratta di un onere che può essere piuttosto gravoso e rischioso accollarsi da parte del titolare. E' del tutto evidente che, in questo caso, la soluzione migliore sarebbe quella di fare un sopralluogo direttamente presso il responsabile, ma trovo questa strada difficilmente percorribile nella pratica.
Una soluzione intermedia potrebbe essere quella di richiedere annualmente al responsabile una relazione sul suo operato, in ordine ai compiti attribuitigli con la nomina ricevuta; c'è però il rischio di dover... rincorrere i responsabili esterni per farsi inviare queste relazioni, che magari non hanno voglia o tempo di redigere.
Migliore soluzione potrebbe essere quella di inviare ai responsabili esterni un questionario con domande mirate e risposte multiple, che riporti anche un campo per le eventuali note, per verificare almeno sulla carta il rispetto della normativa sulla privacy e l'adempimento dei compiti affidati esternamente.
Potrebbe anche valutarsi la possibilità di chiedere al responsabile esterno una copia integrale o l'estratto del suo DPS redatto in qualità di "autonomo titolare del trattamento", anche se non tutti i titolari sono tenuti alla redazione del DPS e, in ogni caso, alcuni potrebbero opporsi a fornirne copia.
Infine, se il professionista gode della piena fiducia del titolare, c'è sempre la possibilità di considerare l'outsourcer un "titolare autonomo" (che quindi non necessita di alcuna nomina formale) e, in questo caso, i due titolari rimangono pienamente liberi e autonomi nelle politiche decisionali in merito ai trattamenti da eseguire e alle misure di sicurezza da applicare e anche dal punto di vista delle reciproche responsabilità.