Un Istituto di Vigilanza Privata che gestisce un impianto di videosorveglianza di un cliente è titolare o responsabile del trattamento? Negli ultimi anni sono stati sottoposti al Garante diversi casi in merito alla corretta configurabilità delle figure privacy (titolare e responsabile). Di seguito il contributo dell’Avv. Marco Soffientini (Docente UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coord. Naz. Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP) e della Dr.ssa Silvia Mencaroni (collaboratrice dello Studio Legale Rosadi-Soffientini Associati)Cosa dice il Garante
Il primo e più recente caso in materia riguarda una lettera del 24 settembre 2018 del Consiglio nazionale dei consulenti del lavoro, che ha sottoposto al Garante un quesito relativo al ruolo del consulente del lavoro alla luce del Regolamento (UE) 679/2016 con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità. Il secondo caso, del 2014, ha riguardato un impianto di videosorveglianza installato presso una farmacia con immagini visionate dalla centrale operativa di un Istituto di Vigilanza.
I Consulenti del Lavoro
La vicenda dei Consulenti del lavoro traeva spunto dalla circolare 23 luglio 2018, n. 1150 con la quale il Consiglio nazionale dei consulenti del lavoro affermava che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento. E’ possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.
Gli Istituti di Vigilanza
Nel caso esaminato dall’Autorità Garante relativo ad un servizio svolto da un Istituto di Vigilanza il trattamento si svolgeva nel seguente modo: Le immagini raccolte presso i locali della farmacia e trasmesse alla centrale operativa dell’istituto “venivano conservate [dallo stesso] non oltre le 24 ore successive alla rilevazione (fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o di particolare rischiosità dell´attività svolta, comunque non superiori ai 7 giorni).
Il quadro di riferimento
Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.
Titolare e responsabile del trattamento dati
L’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all´esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).
Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Il Garante sui Consulenti del Lavoro
Il Garante ha precisato che i Consulenti del Lavoro sono responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Il Garante sull’Istituto di Vigilanza
Il Garante nell’affrontare il caso relativo al rapporto tra l’Istituto di Vigilanza e il Suo cliente ha concluso sulla necessità da parte di quest’ultimo di designare l’Istituto responsabile del trattamento, provvedendo altresì ad impartirgli le istruzioni previste con particolare riferimento all´indicazione dei termini di conservazione delle immagini.
La base giuridica del trattamento
La base giuridica dei trattamenti suindicati è rappresentata dall’articolo 6 del regolamento UE 2016/679 dall’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Di Marco Soffientini