Nello svolgimento delle attività di trattamento dei dati personali, il titolare comunica i dati degli interessati a diverse categorie di soggetti. Parlando di destinatari dei dati personali non ci si riferisce genericamente a tutti i soggetti a cui il titolare comunica/trasmette dati ai fini dell’esecuzione di un servizio. Bisogna infatti distinguere i responsabili esterni del trattamento dai destinatari o terze parti per poter gestire in modo adeguato il tema privacy nell’ambito dell’organizzazione del titolare.
Perché è importante la distinzione
I soggetti a cui il titolare del trattamento comunica/ trasferisce i dati personali eseguono il relativo trattamento sulla base di presupposti contrattuali differenti: il ruolo e il rapporto contrattuale di ogni destinatario dei dati influiscono sulla legittimità del trattamento e sulle responsabilità connesse al trattamento, determinando anche la scelta delle misure tecniche e organizzative (documenti e procedure) da adottare per garantire la sicurezza dei dati.
Come individuare i destinatari dei dati o terze parti
All’interno dell’ampia platea di soggetti con i quali il titolare può relazionarsi nell’esecuzione delle proprie attività, rientrano soggetti che operano in qualità di titolari autonomi rispetto allo stesso soggetto interessato. In pratica il titolare (datore di lavoro/legale rappresentante dell’impresa) comunica i dati di un interessato a un soggetto terzo che persegue interessi e obiettivi propri e che, per tale motivo, non ha un rapporto di dipendenza rispetto al trattamento dei dati, ma di autonomia, qualificandosi a sua volta come un “titolare del trattamento”.
Alcuni esempi di terze parti
Immaginiamo un’azienda produttiva o di servizi. Il titolare del trattamento (identificabile con il datore di lavoro/legale rappresentante) trasmette i dati ad alcuni soggetti che li trattano per finalità proprie. Tre esempi tipici sono:
- il medico competente;
- le banche, per quanto riguarda i pagamenti dei salari;
- le società assicuratrici.
Alcuni casi complessi
I consulenti del lavoro
Rispondendo ai quesiti del Consiglio Nazionale dei consulenti del lavoro e di
numerosi professionisti, il Garante ha precisato che i consulenti del lavoro sono titolari, quindi terze parti, quando trattano i dati dei propri dipendenti oppure quelli dei propri clienti che siano persone fisiche (ex. liberi professionisti), mentre si qualificano come responsabili quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto (ex. consulenti che curano per conto dei datori di lavoro la predisposizione delle buste paga, le pratiche di gestione dei rapporti di lavoro o quelle previdenziali e assistenziali).
L’organismo di vigilanza 231
Il Garante per la protezione dei dati personali ha fornito un parere in merito al ruolo dell’organismo di vigilanza 231 (OdV231) nel 2021, su richiesta dell’associazione AODV231. Tale parere risulta però parziale nella misura in cui identifica l’OdV231 quale “parte dell’ente“, quindi ritenendo che i membri dell’organismo debbano essere qualificati come incaricati del trattamento, escludendo però dalla propria valutazione “il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing“.
Cosa fare in pratica?
L’individuazione delle terze parti (o destinatari dei dati) deve essere parte integrane della messa a fuoco del sistema “privacy” aziendale. Oltre a titolari, co-titolari, responsabili esterni, incaricati al trattamento e DPO, le terze parti devono essere messe a fuoco in relazione all’organizzazione aziendale specifica. E questa messa a fuoco non deve basarsi su classificazioni teoriche, ma prendere in considerazione la specificità operativa di ogni soggetto.