Il comma 7 dell’articolo 4 del Regolamento (UE) n. 679/2016 definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato e il comma 8 delinea il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Occorre, però, distinguere la posizione del soggetto che tratta dati in ragione dell’incarico ricevuto (“responsabile del trattamento”), la cui nomina contiene anche le istruzioni sulle modalità, dalla diversa ipotesi nella quale tale soggetto non si limiti ad effettuare un’attività meramente esecutiva di un trattamento “per conto” del suo cliente, bensì eserciti un potere decisionale reale e del tutto autonomo sulle “finalità” e sulle modalità dei trattamenti effettuati nel proprio ambito ovvero sui “mezzi del trattamento” (in tal caso anch’egli dovrà essere inquadrato e qualificato come titolare del trattamento).
Il trattamento dei dati effettuato dai “professionisti” ed il fatto che questi siano già soggetti a norme anche deontologiche, non attribuisce loro una diversa autonomia rispetto a quei dati che provengono dall’esterno in ragione di un rapporto derivato. Peraltro, la scelta di qualificarsi quali titolari autonomi del trattamento o co-titolari comporta una serie di obblighi ancor più stringenti rispetto alla figura del responsabile.
Con riferimento alla tutela dell’interessato, infatti, la distinzione tra titolare autonomo e responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, sancita dall’art. 82, distinzione che diventerebbe invece decisiva con riguardo alle rispettive responsabilità.
Il titolare, infatti, assume responsabilità ben specifiche ed individuate nel regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare. È quindi evidente il maggior carico di responsabilità e compiti attributi al titolare rispetto al responsabile.
Dunque, se da un punto di vista esegetico tale qualifica risulti più corretta, da un punto di vista pratico, talvolta, risulta difficile immaginare il concreto esercizio di quei poteri di controllo disposti dall’art. 28, par. 3, lett. h), che il Regolamento assegna al titolare nei confronti del responsabile del trattamento.
Ad esempio, in passato, la figura del medico del lavoro ha oscillato spesso fra il ruolo di titolare e quello di responsabile ma il Garante per la privacy, già nella sua “Relazione 2019”, aveva chiarito come sia il medico competente che la compagnia che fornisce servizi assicurativi a un ente pubblico debbano essere definiti “titolari autonomi del trattamento”.
Infatti, a un quesito formulato dalla “Società italiana di medicina del lavoro” (SIML) in ordine al trattamento dei dati personali posto in essere da parte del medico competente, il Garante aveva individuato la funzione di tale figura come “autonoma rispetto a quella che, pure in tale ambito, deve essere svolta dal datore di lavoro”.
In particolare, aveva affermato che: “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro”.
Probabilmente ciò è accaduto per il fatto che il datore di lavoro è obbligato per legge (d.lgs. 9 aprile 2008, n. 81) a nominare un medico competente, al fine di adempiere agli obblighi previsti in materia di igiene e di sicurezza e, a una prima disamina, potrebbe sembrare che il legislatore imputi doveri e responsabilità in tal senso solo al datore di lavoro, affidando invece al medico un ruolo di collaboratore secondario. Ciò ha dato luogo a un’interpretazione che ha ipotizzato l’esistenza di un rapporto gerarchico tra queste due figure.
C’è stato quindi chi ha considerato il medico “responsabile del trattamento” (a cui fornire specifiche istruzioni per gestire i dati sanitari dei dipendenti), e il datore di lavoro “titolare del trattamento”. Tuttavia, un diverso filone già in passato aveva considerato il medico del lavoro “titolare autonomo del trattamento”, in quanto obbligato (anche da proprie norme deontologiche) alla tutela dei dati personali, alla riservatezza e al rispetto delle prescrizioni legislative. Inoltre, tale attività viene condotta da questa figura professionale in maniera totalmente indipendente, benché sia svolta per conto del datore di lavoro.
Passiamo ora alle assicurazioni: anche relativamente a questo tipo di servizi ci sono stati dubbi e incomprensioni, risolti sempre dal Garante nella sua relazione, nella quale ha affermato che la compagnia assicurativa aggiudicataria di un bando di gara promosso da enti pubblici per l’affidamento dei servizi assicurativi “assume la posizione di titolare autonomo del trattamento non ponendo in essere un trattamento di dati per conto dell’ente aggiudicante rispetto al quale persegue interessi separati e distinti. L’attività delle compagnie assicuratrici, che operano sotto la vigilanza di un’autorità di controllo di settore, è disciplinata da una specifica normativa (artt. 1882 ss. c.c.; D.Lgs. n. 209/2005, codice delle assicurazioni; regolamento Ivass n. 40/2018) che definisce in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individuando gli obblighi che ricadono su ognuna delle parti contraenti”.
In conclusione, quindi, l’azienda non deve designare tali soggetti come “responsabili del trattamento”, dato che gli stessi vanno considerati in tutto e per tutto “titolari autonomi del trattamento”.