Il Revisore negli Enti Locali: il suo ruolo ai fini privacy
In questo articolo tratteremo il ruolo del Revisore dei conti ai fini della privacy. Cercheremo quindi, tramite un’analisi del Codice della privacy, di stabilire in modo puntuale e preciso la corretta individuazione del ruolo del Revisore, e quindi dell’OdV, all’interno dell’organigramma dei soggetti del trattamento.
Prima di poter procedere però, è doveroso fare un passo indietro, partendo dalla normativa e la sua evoluzione e analizzando tutte le parti che compongono il trattamento di dati personali.
L’evoluzione della normativa privacy
Il concetto di privacy ha subito diverse variazioni nel corso del tempo, riferito inizialmente alla sfera personale e privata di una persona, attualmente indica il diritto al controllo sui propri dati personali.
Una prima normativa europea sui dati personali nasce con la Direttiva 46 del 1995, lo scopo specifico era quello di armonizzare le diverse norme relative alla protezione dei dati in particolare alla “Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
Con questa Direttiva gli Stati membri possedevano una libertà di manovra molto limitata, il loro compito era quello di vietare il trattamento dei dati personali che potessero rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
Successivamente nel 2016 la vecchia Direttiva viene sostituita dal Regolamento generale sulla protezione dei dati (GDPR) che diventa immediatamente applicabile nel 2018. La funzione del suddetto Regolamento è quella di rafforzare la protezione dei dati personali dei cittadini dell’UE ed un altro scopo principale è quello di semplificare e uniformare la normativa privacy europea.
Disciplina quindi il trattamento dei dati personali da parte di società, persone o organizzazioni.
Considerati i numerosi cambiamenti tecnologici e sociali, il Regolamento è sempre aggiornato e rettificato per inglobare al suo interno tutte le possibili casistiche.
Cosa si intende per dati personali?
Per dato personale si intende, come stabilito dall’art. 4 del Regolamento UE 2016/679: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
I dati personali possono essere oggetto di trattamento, il quale viene disciplinato dal Regolamento UE. Per trattamento si intende, come viene descritto dall’art. 4: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
L’art. 9 inoltre, distingue tre principali categorie di dati personali, quali:
- dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
- dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca;
- dati personali relativi alla salute: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Come principio generale il GDPR stabilisce divieto di trattare dati sensibili, tranne diverse eccezioni disciplinate dal Regolamento come l’aver ottenuto il consenso scritto dell’interessato o qualora si ritenesse necessario per assolvere motivi di interesse pubblico.
Una volta stabilite le categorie dei dati oggetto di trattamento, è opportuno individuare i soggetti protagonisti del trattamento.
Chi sono i principali soggetti del trattamento?
Sono diversi i soggetti del trattamento dei dati personali, definiti dal Regolamento UE 2016/679. I principali, che giocano un ruolo chiave per quello che riguarda qualsiasi trattamento di dati, si distinguono in:
- Titolare del trattamento: è il soggetto principale della normativa, citando l’art. 4 comma 7 del Regolamento: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Non vi sono dunque limitazioni in merito al tipo di entità che può essere nominata titolare, basta che riguardi l’organizzazione che detiene autonomo potere decisionale in merito alle finalità e ai mezzi del trattamento.
- Responsabile del trattamento, individuato dall’art. 4 comma 8 del Regolamento come: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”. Il responsabile è facoltativamente nominato dal titolare e deve attenersi alle condizioni stabilite e alle istruzioni impartite dal titolare.
- Contitolare del trattamento, figura che esiste ogni qualvolta due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento.
- Data Protection Officer (DPO), figura disciplinata dall’art. 37 del Regolamento. Il DPO viene designato dal titolare e il responsabile del trattamento ogni qual volta:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il DPO è dunque un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Alla luce della precedente classificazione sui soggetti del trattamento si può facilmente notare l’assenza di un ruolo specifico da assegnare al Revisore legale, soggetto che ha accesso a una pluralità di dati sensibili e personali. Per questo motivo tenteremo, esemplificando la figura dell’OdV (Organismo di Vigilanza) e analizzando il parere elaborato dal Garante per la qualificazione di tale figura, di analizzare in comparazione la figura del Revisore.
È da tempo oggetto di discussione la corretta individuazione del ruolo dell’OdV. Da un lato veniva individuato come titolare autonomo del trattamento, quindi responsabile, dall’altro era identificato come mero soggetto autorizzato.
Titolare e responsabile del trattamento: le linee guida EDPB
Nel riprendere il prezioso approfondimento fornito da iCONTENZIOSO andiamo a delineare qual è il profilo privacy del commercialista negli Enti Locali che si avvalgano di questi professionisti nelle attività di revisione. Con l’introduzione del GDPR infatti il ruolo del commercialista nell’Ente cambia in base al tipo di consulenza che è chiamato a svolgere in qualità di consulente fiscale o contabile o ancora di revisione di conti.
Il 7 settembre 2020 il Comitato Europeo per la Protezione dei Dati ha pubblicato le linee guida n. 7/2020 che, insieme alle fonti primarie del diritto, chiarisce quali siano i ruoli dei soggetti coinvolti nel trattamento dei dati personali, e fornisce i dati per una corretta classificazione.
Richiamando quindi le responsabilità del trattamento, e calandole nella realtà di nostro interesse, identifichiamo:
- Il Titolare del trattamento è il colui che determina le finalità e le modalità di trattamento dei dati personali. Il Commercialista è Titolare del trattamento quando non esercita meramente un’attività di trattamento “per conto” del cliente, ma esercita un potere decisionale autonomo su finalità e mezzi del trattamento. Lo status giuridico di un soggetto come “titolare del trattamento” o “responsabile del trattamento” non è quindi una designazione formale, ma deve essere determinato, in linea di principio, dalle attività effettive svolte in una situazione specifica.
- Il Contitolare del trattamento è il soggetto che partecipa insieme ad altri soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali. La partecipazione congiunta può essere vista sotto forma di una decisione comune presa più soggetti oppure essere il risultato delle loro decisioni convergenti. Un criterio importante da considerate per individuare i casi di contitolarità, è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da parte di ciascuna di esse è inscindibile.
- Il Responsabile del trattamento è colui che deve trattare i dati “per conto” e soltanto secondo le istruzioni del titolare del trattamento. Le istruzioni del titolare del trattamento possono comunque lasciare un certo margine di discrezionalità al responsabile su come assolvere al meglio i propri compiti, consentendo allo stesso di scegliere i mezzi tecnici e organizzativi più idonei. Si sottolinea che fornire un servizio non equivale a porsi nel ruolo del responsabile: non bisogna quindi applicare automaticamente il ruolo di responsabile del trattamento ad ogni fornitore di servizi. I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento, così come previsto ai sensi dell’art. 28 del GDPR.
A supporto della definizione del ruolo del Revisore richiamiamo anche il recente parere del Garante della privacy (nota prot. 17347 del 12 maggio 2020).
Il Revisore nel nuovo Codice della Privacy
La figura del Revisore nel nuovo Codice della Privacy può ora avvalersi del parere del Garante privacy, nota prot. 17347 del 12 maggio 2020.
Richiamando l’interpretazione fornita da Federprivacy vediamo come, mediante una lettura a contrario del parere sopra riportato, si debba ritenere che il Revisore, nell’espletamento delle funzioni di controllo stabilite obbligatoriamente dalla legge, sia un titolare autonomo del trattamento e cioè il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, autonomamente responsabile di adottare adeguate misure tecniche e organizzative volte a soddisfare i requisiti stabiliti dal GDPR (c.d. principio di accountability).
Rispetto all’ODV non è l’organo dirigente a stabilire funzioni, poteri, risorse, mezzi e misure di sicurezza per il Revisore legale ma la legge.
Com’è noto, l’autonomia ed indipendenza dei revisori trova una compiuta disciplina nel d.lgs. del 27 gennaio 2010, n. 39 (Attuazione della direttiva 2006/43/CE, relativa alle revisioni legali dei conti annuali e dei conti consolidati, che modifica le direttive 78/660/CEE e 83/349/CEE, e che abroga la direttiva 84/253/CEE. (10G0057). E lo svolgimento di tale funzione di controllo può essere svolto esclusivamente da soggetti iscritti nell’albo dei revisori legali del MEF.
Ritenendo che possa essere cosa utile effettuare un richiamo anche all’impianto sanzionatorio si vuole sottolineare come da un punto di vista del diritto alla protezione dei dati personali un’erronea qualificazione giuridica soggettiva del Revisore potrebbe esporre i titolari del trattamento alle conseguenze sanzionatorie, non esclusivamente di tipo pecuniario, da parte dell’Autorità di controllo.
Concludendo, a fronte della generale assegnazione del ruolo di Titolare Autonomo al Revisore, è opportuno chiarire come vi possano essere delle particolari ipotesi al verificarsi delle quali il Revisore potrebbe essere considerata come un responsabile del trattamento. In tali situazioni, che si verificheranno per lo più a fronte di incarichi diretti al Revisore da parte del Titolare, sarà necessaria un’analisi del caso concreto volto a verificare chi effettivamente decida le finalità e le modalità del trattamento in un accordo specifico con il titolare ed effettuare un’accurata analisi sul grado di autonomia del professionista.