professionisti, co-working, gruppi societari e società di servizi: co … · 2019. 1. 22. · di...
TRANSCRIPT
Professionisti, co-working,gruppi societari e società di servizi:
co-Titolari o Responsabili del trattamento?
Avv. Prof. Claudia Ogriseg
Titolare, co-Titolare, Responsabile e Autorizzato del trattamento
… nomine obbligate o scelte organizzative?
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Avvocati, Commercialisti, Consulenti del Lavoro, Medici,
Notai, Ingegneri…
… quali implicazioni di responsabilità delle diverse scelte
... quale ruolo nel trattamento dei dati personali comunicati dai Clienti?
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
gruppi societari, società controllate, reti di imprese
SPUNTI CONCLUSIVI
associazioni professionali, società tra professionisti e mere
collaborazioni (co-working)
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
I ruoli di responsabilità
nella gestione del dato personale
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Titolare del trattamento
art4, n.7 GDPR «Titolare del trattamento»: la persona
fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che, singolarmente o insieme ad altri,
determina le finalità e i mezzi del trattamento di dati
personali; quando le finalità e i mezzi di tale trattamento
sono determinati dal diritto dell’Unione o degli Stati
membri, il titolare del trattamento o i criteri specifici
applicabili alla sua designazione possono essere stabiliti
dal diritto dell’Unione o degli Stati membri; (C74)
no cambiamenti rispetto alla dir.
n.95/46/CE
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
… con stabilimentiin più Stati membri
art4 n.16 GDPR «stabilimento principale»: (C36,
C37) a) per quanto riguarda un titolare del
trattamento con stabilimenti in più di uno Stato
membro, il luogo della sua amministrazione
centrale nell’Unione (…) (sede in cui vengono
adottate) le decisioni sulle finalità e i mezzi del
trattamento di dati personali (…);
… non stabilitonell’Unione: il Rappresentante
art. 4 n.17 GDPR «il Rappresentante»: la persona fisica o
giuridica stabilita nell’Unione che, designata dal titolare del
trattamento (…) per iscritto ai sensi dell’art. 27, li rappresenta per
quanto riguarda gli obblighi rispettivi a norma del presente
regolamento; (C80)
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
… e l’Autorità di controllo
art. 4 n.22 GDPR «autorità di controllo
interessata»: (..) (C124) a) il titolare del
trattamento o il responsabile del trattamento è
stabilito sul territorio dello Stato membro di
tale autorità di controllo; b) gli interessati che
risiedono nello Stato membro dell’autorità di
controllo sono o sono probabilmente
influenzati in modo sostanziale dal
trattamento; oppure c) un reclamo è stato
proposto a tale autorità di controllo;
(C124) (…) stabilimento principale (…) unico
autorità capofila (…) dovrebbe cooperare con
le altre autorità interessate (..) il comitato
dovrebbe pubblicare linee guida (…) sui
criteri da prendere in considerazione per
accertare se il trattamento in questione
incida in modo sostanziale su interessati in
più di uno Stato membro e su cosa
costituisca obiezione pertinente e motivata
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
co-Titolare del trattamento
art. 26 GDPR (C79) 1. (…) due o più titolari del trattamento determinano
congiuntamente le finalità e i mezzi del trattamento (…) mediante un accordo
interno, le rispettive responsabilità (…) con riguardo all’esercizio dei diritti
dell’interessato, e le rispettive funzioni di comunicazione delle informazioni (…)
(sempre che) (…) le rispettive responsabilità (non) siano determinate dal diritto
dell’Unione o dello Stato membro (…) può designare un punto di contatto per
gli interessati.
si tratta di una figura nuova non presente nella direttiva
n.95/46/CE ma analizzata nel Parere del Garante italiano
30 giugno 1997
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
co-Titolare del trattamento
art. 26 GDPR (C79) (…) 2.L’accordo (…) riflette
adeguatamente (…) ruoli (…) rapporti dei contitolari con gli
interessati (…) è messo a disposizione dell’interessato.
3.(…) l’interessato può esercitare i propri diritti (…) nei
confronti di e contro ciascun titolare del trattamento.
(C79) GDPR (…) chiara
ripartizione delle
responsabilità
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Responsabile del trattamento
art. 4 n.8 GDPR «il Responsabile del trattamento»: è
la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo che tratta dati personali per
conto del titolare del trattamento
37
Il Responsabile non ha autonomi poteri ed effettua il
trattamento in maniera strettamente strumentale con
il trattamento deciso dal TitolareC
laudia
Ogrise
g -
Am
min
istr
ato
re
Responsabile del trattamento
art. 28 GDPR (C81) 1.Qualora un trattamento debba essere effettuato per
conto del titolare del trattamento, quest’ultimo ricorre unicamente a
responsabili del trattamento che presentino garanzie sufficienti per
mettere in atto misure tecniche e organizzative adeguate in modo tale
che il trattamento soddisfi i requisiti del presente regolamento e
garantisca la tutela dei diritti dell’interessato.
37
(C81) (…) conoscenza specialistica,
affidabilità e risorse, per mettere in
atto misure tecniche e organizzative
anche per la sicurezza del trattamento
Il Titolare può incorrere in
CULPA IN ELIGENDOCULPA IN VIGILANDO
La figura del Responsabile interno del trattamento
non parrebbe compatibile con il GDPR
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Responsabile del trattamento
37
art. 28 GDPR (C79) (C81) (…)
3. I trattamenti da parte di un responsabile del trattamento sono
disciplinati da un contratto o da altro atto giuridico a norma del
diritto dell’Unione o degli Stati membri, che vincoli il responsabile
del trattamento al titolare del trattamento e che stipuli la materia
disciplinata e la durata del trattamento, la natura e la finalità del
trattamento, il tipo di dati personali e le categorie di interessati, gli
obblighi e i diritti del titolare del trattamento.
(C79) (…) chiara ripartizione delle
responsabilità
(C81) (…) contratto individuale o
clausole contrattuali tipo
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
… con più stabilimenti
art. 4 n.16 GDPR «stabilimento principale»: (C36, C37) (…); b) (per il responsabile
del trattamento) con stabilimenti in più di uno Stato membro, il luogo in cui ha sede
la sua amministrazione centrale (…) lo stabilimento (…) in cui sono condotte le
principali attività di trattamento nel contesto delle attività di uno stabilimento del
responsabile del trattamento nella misura in cui tale responsabile è soggetto a
obblighi specifici ai sensi del presente regolamento;
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
… non stabilito nell’Unione
art. 4 n.17 GDPR «il Rappresentante»: la persona fisica o giuridica stabilita nell’Unione
che, designata (…) dal responsabile del trattamento per iscritto ai sensi dell’art. 27, li
rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente
Regolamento; (C80)
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Sub-Responsabile
art. 28 GDPR (C81) (…)
2.Il responsabile del trattamento non ricorre a un altro responsabile
senza previa autorizzazione scritta, specifica o generale, del titolare
del trattamento. Nel caso di autorizzazione scritta generale, il
responsabile del trattamento informa il titolare del trattamento di
eventuali modifiche previste riguardanti l’aggiunta o la sostituzione
di altri responsabili del trattamento, dando così al titolare del
trattamento l’opportunità di opporsi a tali modifiche.
37
I sostituti dei Responsabili sono ammissibili solo previa
autorizzazione scritta il Titolare del trattamento deve essere
notiziato e ha facoltà di opporsi
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Autorizzati al trattamento
Il Regolamento non prevede espressamente la figura dell’ “incaricato”
del trattamento (ex art. 30 Codice), ma non ne esclude la presenza
riferendosi a “persone autorizzate al trattamento dei dati personali sotto
l’autorità diretta del titolare o del responsabile” (si veda art. 4, n. 10
GDPR).
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Assetti della responsabilità
Titolare co-Titolare
Responsabile sub-Responsabile
Responsabilità solidale salvo
dimostrazione che l’evento
dannoso “non gli è in alcun modo
imputabile” (art. 82, par.1 e par. 3
GDPR)
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
I professionisti: quale ruolo
nella protezione dei dati?
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
I PROFESSIONISTI- CASISTICA
Architetto
Ingegnere
Avvocato
Notaio
Agenzie investigative
Agenzie di vigilanza
Amministratorecondominiale
Professionista sanitario(Medico, infermiere,
psicologo)
RSPPCommercialista
Consulente del lavoro
Informatico
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
TITOLARE SOCIETA’ TRA PROFESSIONISTI
RESPONSABILE
decide autonomamente finalità
raccolta dei dati personali
decide autonomamente le misure di
protezione del dato e adotta un
Registro del trattamento
regime fiscale e previdenziale come
studi individuali e associazioni
professionali; multidisciplinari
(art. 10, co. 8, l.n. 183/2011);
responsabilità viene condivisa con
la società solo se l’illecito
disciplinare è conseguenza di
direttive societarie
subisce le decisioni del
Cliente/Titolare
si attiene alle misure di protezione
del dato adeguate decise dal
Cliente/Titolare adotta diversi
Registri del trattamento per ciascun
Cliente/Titolare
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Il professionista
ASSOCIAZIONE PROFESSIONALE
SOCIETA’ TRA PROFESSIONISTI
COLLABORAZIONE TRA PROFESSIONISTI
esercizio attività in forma associata
costi di gestione contabile-
amministrativa; fiscalmente
trattamento=partita IVA
individuale; suddivisione utili in
proporzione quote%; no
separazione del patrimonio tra
associati e associazione
professionale (Cass. n. 8853/2007)
privo di personalità giuridica
fenomeni di aggregazione di
interessi
regime fiscale e
previdenziale come studi
individuali e associazioni
professionali; multidisciplinari
(art. 10, co. 8, l.n.183/2011);
responsabilità viene condivisa
con la società solo se l’illecito
disciplinare è conseguenza di
direttive societarie
i singoli professionisti collaborano
ma esercitano la professione in
forma singola e autonoma; è la
forma tipica dello studio mono-
professionale o dei collaboratori
che lavorano presso altri colleghi o
studi o società
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Il professionista
Gruppi societari, reti di imprese e società di servizi
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Gruppi imprenditoriali
art. 4 n.19 GDPR «gruppo
imprenditoriale» un gruppo
costituito da un’impresa
controllante e dalle imprese
da questa controllate; (C37,
C48)
(C 37) (…) impresa controllante
(…) può esercitare un’influenza
dominante sulle controllate in
forza (…) partecipazione
finanziaria o delle norme
societarie o del potere di fare
applicare le norme in materia di
protezione dei dati personali.
(C 48) (…) interesse
legittimo a trasmettere dati
personali all’interno del
gruppo imprenditoriale a
fini amministrativi interni
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Gruppi imprenditoriali - Società controllate
art. 2359 Codice civile
Sono considerate società controllate:
1) le società in cui un'altra società dispone della maggioranza dei voti esercitabili
nell'assemblea ordinaria;
2) le società in cui un'altra società dispone di voti sufficienti per esercitare un'influenza
dominante nell'assemblea ordinaria;
3) le società che sono sotto influenza dominante di un'altra società in virtù di
particolari vincoli contrattuali con essa.
Ai fini dell'applicazione dei numeri 1) e 2) del primo comma si computano anche i voti
spettanti a società controllate, a società fiduciarie e a persona interposta: non si
computano i voti spettanti per conto di terzi.
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Gruppi imprenditoriali
La capogruppo (controllante)
potrebbe essere nominata
Titolare del trattamento e le
società del gruppo (controllate)
potrebbero essere nominate
co-Titolari del trattamento
La capogruppo (controllante)
potrebbe essere nominata
Titolare del trattamento e le
società del gruppo (controllate)
potrebbero essere nominate
Responsabili del trattamento
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Gruppi imprenditoriali – norme vincolanti
art. 4 n.20 GDPR «norme vincolanti d’impresa»: le
politiche in materia di protezione dei dati personali
applicate (…) al trasferimento o al complesso di
trasferimenti di dati personali a un titolare del
trattamento o responsabile del trattamento in uno o più
paesi terzi, nell’ambito di un gruppo imprenditoriale o
di un gruppo di imprese che svolge un’attività
economica comune; (C37, C110)
(C 110) (…) approvate per i trasferimenti
internazionali dall’Unione (…) purché tali
norme contemplino tutti i principi
fondamentali e diritti azionabili che
costituiscano adeguate garanzie per i
trasferimenti o categorie di trasferimenti di
dati personali.
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Reti d’imprese
Il contratto di rete è un accordo con il quale più imprenditori si impegnano a collaborare al fine
di accrescere, sia individualmente che collettivamente, la propria capacità innovativa e la
propria competitività sul mercato.
Nelle Reti l’eventuale ruolo di ciascuna impresa nella gestione del dato personale potrebbe
essere connesso con l’interesse alla condivisione di dati personali per esigenze di distacco dei
dipendenti e/o per condividere dati personali di Clienti.
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
Società di servizi
Qualora le società risultino avere solo un legame contrattuale derivante da un appalto di servizi
l’eventuale ruolo di ciascuna società nella gestione del dato personale potrebbe essere connesso
con l’oggetto dell’appalto [es. società di marketing] ovvero con la condivisione di dati personali per
esigenze di tutela da responsabilità solidali connesse alla filiera degli appalti [es. obblighi di
comunicazione DURC]
Cla
udia
Ogrise
g -
Am
min
istr
ato
re
18
Titolare, co-Titolare, Responsabile: scelte organizzative?
Nomine all’italiana o clausole di integrazione ai contratti?
Profili di responsabilità e implicazioni pratiche
Spunti conclusiviCla
udia
Ogrise
g -
Am
min
istr
ato
re
grazie per
l’attenzione
Cla
udia
Ogrise
g -
Am
min
istr
ato
re