I soggetti del trattamento dei dati: di Nell'ambito delle numerose problematiche sollevate dall' entrata in vigore della legge n. 675/96 sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali occorre affrontare, tra i primi, il tema della responsabilità per gli adempimenti posti a carico dei soggetti titolari o responsabili dei trattamenti. Infatti, dal momento che la legge prevede, nel suo impianto complessivo, che i principi di tutela dei soggetti interessati si esprimano attraverso l'individuazione di una serie di obblighi in capo ai soggetti (persone, autorità pubbliche, imprese o qualunque altro organismo) responsabili della detenzione di banche dati e dei relativi trattamenti, occorre senz'altro - e prioritariamente - chiarire come tali figure si possano incarnare nelle persone fisiche che le esplicano. Tale attività interpretativa è tanto più necessaria in considerazione della natura penale delle sanzioni previste per la quasi totalità delle infrazioni alla legge e, quindi, in considerazione della natura personale della responsabilità. Come è noto, la legge, con riferimento al trattamento dei dati, individua tre figure distinte: il titolare, il responsabile e l'incaricato, cui spettano diverse attività e cui sono attribuiti diversi oneri ed adempimenti. Senza ripetere l'esposizione istituzionale di compiti e funzioni spettanti ai soggetti citati, in questa sede è però utile rilevare come, inserendosi nel solco già tracciato dalla filosofia operativa del legislatore comunitario, il sistema si muova attraverso la predisposizione di meccanismi di prevenzione dei potenziali danni e dei rischi che possono derivare dallo svolgimento dell'attività di trattamento dei dati personali su tutti i cittadini comunitari, siano essi considerati nella loro veste di consumatori e utenti di beni e servizi, siano essi prestatori d'opera o lavoratori; siano essi, infine, imprenditori o professionisti. Anche la soluzione normativa adottata dal legislatore italiano, quindi, sposta l'asse di riferimento dall'atteggiamento precettivo ed impositivo - che, a fronte dello svolgimento di una attività particolare, richiede il controllo preventivo dello Stato ed impone sanzioni per il mancato rispetto delle norme - ad un atteggiamento che privilegia il momento della prevenzione attraverso l'individuazione delle misure di sicurezza, l'analisi e la valutazione dei rischi, l'informazione/formazione degli interessati. In questo quadro non è particolarmente agevole ricostruire con esattezza le responsabilità connesse all'ambito di intervento dei diversi soggetti chiamati ad intervenire, fermo restando, però, che è già possibile fissare un punto di riferimento certo per cui, in un'impresa o nella pubblica amministrazione, spetta senza dubbio agli organismi di vertice, non già o non solo di imporre dall'alto l'osservanza ed il rispetto delle misure di sicurezza, quanto e soprattutto di organizzare programmaticamente l'attività: l'aspetto più importante introdotto dalla nuova legge, pertanto, non risiede tanto nell'aver individuato nuove responsabilità o nuovi adempimenti a carico delle imprese, quanto nell'aver tracciato le linee per l'impostazione di una metodologia organizzativa aziendale sul problema. Questo aspetto induce una considerazione di estrema importanza legata alla possibilità o meno, per il vertice aziendale, di delegare o trasferire responsabilità. Schematizzando, infatti, i principi fondamentali che investono il vertice aziendale nell'ambito delle modalità procedurali imposte dalla legge, si possono rinvenire essenzialmente tre componenti:
b) un obbligo di coinvolgimento di tutti i soggetti interessati sia nella fase di individuazione, sia nella attuazione delle misure necessarie; c) un obbligo di diffusione e circolazione delle informazioni attraverso la predisposizione di idonei strumenti sia all'interno della struttura aziendale, sia nei confronti dei soggetti interessati dal trattamento. Proprio perchè tali obblighi scaturiscono da scelte che costituiscono un momento fondamentale e qualificante del potere organizzativo dell'impresa, il legislatore ha voluto riservarli unicamente ai massimi responsabili di un'azienda. Esercizio della delega di funzioni e responsabilità: limiti. Occorre, quindi, affrontare uno degli aspetti più delicati indotti dall'esame delle nuove norme, vale a dire quello della possibilità o meno di trasferimento e delega delle responsabilità. L'ambito generale di riferimento introdotto dalla legge n. 675/96 consente, in linea di massima, di individuare due diversi e distinti livelli: da un lato l'osservanza, attribuita alla esclusiva responsabilità del titolare del trattamento, degli obblighi relativi alla organizzazione del sistema di trattamento e sicurezza; dall'altro l'attuazione concreta delle misure rimesse alla responsabilità congiunta del titolare e del responsabile (eventuale) del trattamento e, in quanto tale, delegabile e trasferibile dal primo al secondo (che può essere anche un soggetto estraneo alla struttura aziendale) dotato delle necessarie competenze. Il quadro fornito dalla legge, però, non esaurisce certamente l'ambito delle possibilità concrete e reali connesse alle esigenze organizzative di un sistema aziendale complesso. Con riferimento a tali situazioni, in effetti, sorge spontanea la considerazione per cui non è ragionevolmente pensabile che le responsabilità introdotte dalla legge si estendano a tutti i soci di una società, ad esempio, o ancora, per gli enti pubblici, ad una ipotetica soggettività indefinita, o anche, che l'organo di vertice aziendale possa essere direttamente coinvolto nella organizzazione dei dati personali, quando l'attività di trattamento costituisca soltanto una minima o residuale parte dell'attività svolta in via principale dal medesimo soggetto. Ciò in dipendenza, come si accennava sopra, della necessità, stante l'impianto sanzionatorio penale, di "far emergere" in ogni caso una persona fisica, direttamente e personalmente responsabile (indipendentemente dalla sua posizione nell'organico aziendale) del compimento di attività alla medesima assegnate. Ecco, pertanto, come occorra valutare con attenzione quali siano le possibilità reali di attribuire con delega le responsabilità in ordine alla titolarità della banca dati e del trattamento, le forme di tale delega e la sua definizione. Premesso che, probabilmente, occorrerà tempo per lasciare che le norme in argomento si consolidino nella prassi attuativa, con il concorso e l'intervento della giurisprudenza, è comunque necessario - anche in occasione di questo sguardo estremamente sintetico e riassuntivo sulla questione - capire se esistano e quali siano i margini di trasferimento delle responsabilità. In tale ambito si può agevolmente ritenere che il vertice aziendale sia comunque tenuto, senza possibilità di delega, ad attivarsi affinchè si proceda nella individuazione del piano strategico di intervento, in aderenza ai contenuti generali stabiliti dalla legge: in tal senso, pertanto, le sue responsabilità saranno delimitate all'assolvimento di un obbligo di fare, non potendosi ragionevolmente credere che egli debba rispondere anche del contenuto attuativo, nel caso in cui, ad esempio, si riscontrino delle carenze. Appare evidente, peraltro, che nella eventuale delega di responsabilità debba essere necessariamente rispettata un'esigenza di ottemperanza ai criteri generali in materia di diligenza e buona fede, la cui inosservanza comporta la possibilità di configurare una culpa in eligendo del top management aziendale. Quanto ai contenuti della possibile delega deve ritenersi che questa debba essere espressa, vera ed effettiva, tale 1) da comportare il trasferimento di tutte le funzioni in ordine all'intero settore deputato al trattamento o alla specifica unità organizzativa che lo esegue; 2) da escludere una effettiva partecipazione del delegante all'organizzazione del lavoro. Riassumendo, quindi, si possono concretamente formulare alcune linee guida utili per l'affidamento di incarichi su delega. Relativamente a ciò, esistono, come è noto, due diversi criteri di accertamento dei livelli di delega:
b) prove documentali (procura vera, effettiva e formale) secondo il principio della facoltà di controllo. Nel caso di nostro interesse si ritiene certamente auspicabile, per la rilevanza e la delicatezza delle responsabilità attribuite dalla legge n. 675/96 e penalmente sanzionate, il ricorso alla seconda delle ipotesi formulate Considerando, inoltre, le condizioni alle quali la delega può considerarsi efficace, possiamo elencare i seguenti principi generali:
2) la persona delegata deve accettare la delega volontariamente ed esplicitamente; 3) il delegato deve essere persona professionalmente qualificata, in possesso delle facoltà necessarie (di natura organizzativa e tecnica); 4) il delegato deve avere a disposizione strumenti idonei per l'organizzazione delle attività relative alla funzione delegata, soprattutto di spesa. In caso contrario la responsabilità rimane in capo al vertice; infatti il delegato deve disporre di poteri e di autonomia necessari per lo svolgimento della funzione delegata: deve essere in grado di decidere autonomamente ed imporre le decisioni; deve poter decidere liberamente per quanto concerne l'impiego delle risorse finanziarie assegnategli. Per tutte le limitazioni imposte dal vertice, sarà quest'ultimo a rispondere delle conseguenze, sopportando l'applicazione delle sanzioni penali ed amministrative previste dalla legge n. 675/96; 5) il delegato deve poter intervenire in tutte le questioni che gli competono in base all'elenco stilato nella delega. Non deve essere chiamato ad adempiere a compiti estranei o non compatibili con la delega; 6) qualora il vertice venisse a conoscenza di infrazioni alle norme, resta fermo in capo ad esso l'obbligo di intervenire, non potendo disattendere le proprie responsabilità di carattere generale; 7) il vertice deve comunque svolgere un controllo sull'attività del delegato. Tracciando le conclusioni, pertanto, si può affermare che, sia pure ritenendo possibile (anzi auspicabile nei casi di organizzazioni aziendali complesse o di enti pubblici) il trasferimento e la delega della "titolarità" del trattamento, deve rilevarsi come i requisiti di tale delega risultino senza dubbio stringenti e tali da ritenere auspicabile una attenta valutazione, nella fase di organizzazione dell'attività. Questo per quanto attiene agli aspetti generali della questione, l'analisi della quale dovrà, però, essere completata mediante la scansione dei luoghi normativi presenti nella legge 675 che abbiano rilevanza con la stessa. In altre parole, occorre verificare, adempimento per adempimento, obbligo per obbligo, in che modo si esplichi la responsabilità - diversa e distinta - dei tre soggetti, in quale forma si concreti la loro attività, in che misura si possano riscontrare momenti di sovrapposizione o possibile confusione tra i diversi ruoli, soprattutto con il costante riferimento al momento sanzionatorio. |