a.                   Per le Società chi è il “Titolare del trattamento” ai sensi del regolamento europeo sulla privacy?

Innanzitutto, rileviamo che la delega ipotizzata avrebbe ad oggetto la qualifica di “Titolare del trattamento” dei dati personali raccolti e gestiti dalla Società ai sensi dell’art. 4.7 del Regolamento UE 2016/679 (di seguito GDPR).

L’articolo in esame dispone che il “Titolare del trattamento” sia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina la finalità e i mezzi del trattamento dei dati personali”.

La delega attiene pertanto a tutti gli obblighi e agli adempimenti previsti dal GDPR in capo al “Titolare del trattamento”, i quali, in estrema sintesi, sono raggruppabili in tre categorie: quella in materia di sicurezza dei dati, di garanzia nei confronti dell’interessato (proprietario dei dati) nonchè di collaborazione con i soggetti preposti al controllo del trattamento dati (ovvero Autorità Garante della Privacy, organismi indipendenti di certificazione e Data Protection Officer).

Dalla norma in esame si evince chiaramente che, in caso di persone giuridiche, pubbliche o private, riconosciute o no, è la persona giuridica nel suo complesso che, ai sensi del GDPR, viene considerata “Titolare del trattamento”, non il singolo organo decisionale né la persona fisica o le persone fisiche che la rappresentano. Ed essendo il Titolare centro di imputazione delle decisioni in merito alle finalità del trattamento e dei mezzi per conseguirle, lo stesso è anche centro di imputazione delle responsabilità e degli oneri probatori che ne derivano.

b.                  Alcune prime risposte sulla delega omnicomprensiva e sulla delega parziale di attività e funzioni.

Ne consegue che in virtù del rapporto organico che lega la persona giuridica al proprio organo amministrativo:

·    quest’ultimo non può delegare a persona esterna all’organo stesso attività decisionali specifiche che sono riservate ex lege in via esclusiva al “Titolare del trattamento”, come la scelta delle finalità del trattamento stesso nonché la nomina dei “responsabili del trattamento” e del DPO quando previsto; 

·        destinatario delle sanzioni amministrative in materia di privacy è il soggetto giuridico nel suo complesso e non la persona fisica che ne costituisce l’organo amministrativo (in tal senso si veda l’Opinione 1/10 del WP 29);

·      l’organo amministrativo può delegare affidandola a soggetti esterni, anche non dipendenti della persona giuridica, solo quelle attività connesse alla gestione della sicurezza dei dati, al loro trattamento ed alla collaborazione con i soggetti preposti al controllo del trattamento stesso che siano meramente strumentali; ovvero tutte quelle attività nelle quali il delegato non esercita una discrezionalità talmente ampia da incidere sulle finalità e sui profili essenziali dei mezzi di trattamento, posto che in caso contrario diventerebbe lui stesso “contitolare” del trattamento.

c.                   La delega parziale è possibile solo per le attività strumentali.

Applicando i principi sopra illustrati all’ipotesi di delega a soggetto esterno al CdA, riteniamo che il CdA possa delegare ad un soggetto esterno, mediante apposita procura, solo le attività indicate al punto c).

d.                  La delega omnicomprensiva è vietata, con una eccezione.

In nessun caso il CdA potrebbe affidare al soggetto esterno una delega “omnicomprensiva” in materia di protezione di dati personali; ciò in quanto, per definizione di legge, la qualifica di “Titolare del trattamento” non può essere oggetto di delega e spetta esclusivamente alla Società, con la conseguenza che deve essere esercitata personalmente dal suo organo amministrativo.

Una delega “omnicomprensiva” potrebbe al più essere rilasciata dal CdA esclusivamente ad un proprio membro (consigliere delegato) in virtù dell’art. 2381 cod. civ., a condizione che lo statuto o l’assemblea dei soci lo consentano.

In tale ipotesi, peraltro, all’amministratore delegato, unitamente a tutte le funzioni e poteri decisionali -nessuno escluso-  inerenti la protezione dei dati personali, dovrebbe essere conferita altresì piena ed illimitata facoltà di spesa in materia; in caso contrario gli altri membri del Consiglio non potrebbero beneficiare di alcuna esenzione di responsabilità in ipotesi di illeciti compiuti dall’amministratore nell’esercizio della delega. 

e.                  Diverso è il caso della delega in tema di sicurezza sul lavoro.

In altre parole, in materia di protezione dati personali non pare applicabile, in via analogica, lo schema della delega “integrale” di funzioni che gli artt. 16 e 17 del D.L.vo n. 81/2008 prevedono con riferimento alla qualifica di “datore di lavoro”.

Ciò in quanto l’art. 2 comma 1 lett. b del D. L.vo n. 81/2008 individua il datore di lavoro come “il soggetto titolare del rapporto di lavoro con il lavoratore o, comunque, il soggetto che secondo il tipo e l’assetto dell’organizzazione nel cui ambito il lavoratore presta la propria attività ha la responsabilità dell’organizzazione stessa o dell’unità produttiva in quanto esercita i poteri decisionali o di spesa”, mentre in materia di protezione dati personali non è individuabile una figura analoga a quella del preposto e/o responsabile dello stabilimento, prevista appunto dalla seconda parte della norma sopra citata in materia di sicurezza sul lavoro (“o, comunque, il soggetto che secondo il tipo e l’assetto dell’organizzazione nel cui ambito il lavoratore presta la propria attività ha la responsabilità dell’organizzazione stessa o dell’unità produttiva in quanto esercita i poteri decisionali o di spesa”).

f.                    Quali conseguenze se il CdA sbaglia?

Chiarito quanto sopra con riferimento all’estensione della delega che il CdA potrebbe conferire ad un soggetto esterno o ad un proprio membro, venendo a rispondere alla seconda parte del quesito rileviamo che diverse sono le conseguenze per le inosservanze del delegato agli obblighi di legge, a seconda che si faccia riferimento alla responsabilità civile oppure a quella penale. 

Non prendiamo in considerazione l’ipotesi della sanzione amministrativa per la quale di norma, ai sensi della legge 689/81, risponde in via solidale anche la persona fisica che rappresenta la società; come visto sopra, infatti, in materia di protezione dati personali il destinatario della sanzione è in via esclusiva il soggetto giuridico (cfr Opinione 1/10 del WP 29); l’argomento, pertanto, non interessa il quesito posto.

Nel primo caso, la responsabilità civile per gli eventuali danni patiti dal soggetto interessato al trattamento dei dati, connessa a violazione degli obblighi di legge, ricade sulla persona giuridica ex artt. 2043 e/o 2049 cod. civ., dovendo la stessa rispondere dell’operato del proprio amministratore e/o  procuratore. Di tale responsabilità potrà poi eventualmente rispondere verso il danneggiato, in via personale e solidale con la società, anche l’amministratore e/o il procuratore, rispettivamente ex artt. 2395 e/o 2043 cod. civ., ove venisse dimostrato che il suo comportamento è stato frutto di atti dolosi e/o colposi compiuti con coscienza e volontà.

In ogni caso e comunque, la delega di funzioni e/o di specifiche attività ad un consigliere delegato o a un procuratore esterno al CdA non può mandare esente da responsabilità civile la società, che risponderà sempre in via principale, in qualità di “Titolare del trattamento” (anche ex art. 2049 cod. civ.), dei danni patiti dall’interessato al trattamento dei dati, ove provocati dal comportamento attivo od omissivo del delegato. Al massimo, la Società potrà esercitare rivalsa nei confronti del proprio amministratore e/o procuratore ove emergesse che hanno operato in violazione degli obblighi su di loro gravanti in virtù del rapporto contrattuale che li lega alla Società stessa, oppure qualora l’amministratore/procuratore abbia agito per perseguire un proprio personale interesse/profitto.

Nel secondo caso, con riferimento alla responsabilità penale, essendo la stessa “personale”, in presenza di organi amministrativi di Società o Enti la pena grava sempre sulle persone fisiche che rappresentano la persona giuridica, salva la responsabilità sussidiaria e fideiussoria dell’ente, in qualità di civilmente obbligato per l’ammenda, per l’ipotesi in cui il reo fosse insolvente.

Stante la natura personale della responsabilità penale, alla luce dei limiti di delegabilità delle attività connesse alla qualifica di “Titolare del trattamento” sopra visti, si può ritenere che:

·         i singoli membri del CdA non potranno in nessun caso liberarsi dalle responsabilità  penali per  eventuali reati connessi all’esercizio di attività e decisioni di specifica ed esclusiva competenza dell’ente, non delegabili dal suo organo amministrativo a soggetti esterni all’organo stesso,

·         i membri del CdA potranno andare esenti da responsabilità per eventuali reati connessi all’esercizio di attività/funzioni di natura esecutiva delegabili a soggetto esterno al CdA solo se dette attività/funzioni verranno affidate ad un soggetto con un margine di discrezionalità sufficientemente ampio e senza limiti di spesa, così da implicare la totale autonomia discrezionale del delegato nell’ambito dalla specifica attività affidatagli. In mancanza di tale totale autonomia infatti, ove le scelte del delegato fossero in qualche modo riconducibili al volere dell’azienda e, di conseguenza, del suo CdA (per i limiti di spesa da questo imposti o per indicazioni sull’attività delegata talmente stringenti da configurare l’attività del delegato come quella di “nudus minister”), i membri dell’organo amministrativo continuerebbero a rispondere dell’eventuale reato, quanto meno a titolo di concorso con il delegato,

·        la possibilità  per alcuni membri del CdA di liberarsi dalla responsabilità penale per tutte le attività connesse al trattamento di dati personali è collegata esclusivamente alla  possibilità di conferire una delega di gestione ad uno dei propri membri, ex art. 2381 cod. civ.. In tal caso infatti, fatto salvo l’obbligo di vigilare sull’operato del consigliere delegato e di intervenire in caso di suo inadempimento (pena il rischio di rispondere in via di concorso con lui ove si verificasse un reato) gli altri membri del CdA andrebbero esenti da responsabilità.

g.                   Una precisazione finale.

Si precisa che le conclusioni di cui sopra in materia di responsabilità penale valgono in via generale, in relazione ai reati inerenti la violazione degli obblighi e divieti posti  a protezione dei dati personali e sanciti dal codice privacy allo stato vigente (D. L.vo 196/2003); ben potendo in un prossimo futuro essere introdotti nel nostro ordinamento dei reati “propri” nuovi che, magari, implicheranno una specifica responsabilità in capo alle persone fisiche che rappresentano il soggetto giuridico “Titolare del trattamento”.

Come noto, infatti, il GDPR ha abrogato tutte le norme nazionali con lui confliggenti e non è stata ancora emanata in Italia la legge di armonizzazione della normativa nazionale allo stesso (dovrebbe essere pubblicata nelle prossime settimane): non sappiamo, pertanto, se e quali reati previsti dal codice privacy verranno confermati né, soprattutto, quali saranno gli eventuali nuovi reati che la legge di armonizzazione potrebbe introdurre.