OBBLIGHI E DOVERI DEGLI AGENTI DI COMMERCIO IN TEMA DI PRIVACY
Avv. Silvia Borrini
Quando al contratto di agenzia si accosta il tema delle norme contenute nel (ormai noto) GDPR, non tutti gli operatori del settore hanno chiaro che cosa -nella pratica- si debba intendere, se e in che veste l’agente è tenuto al rispetto delle disposizioni del GDPR. E soprattutto quali sono i rischi in caso di mancato rispetto delle prescrizioni di derivazione comunitaria.
Facciamo un ripasso dei concetti base del GDPR
In questo spazio abbiamo spesso parlato di privacy, ma prima di affrontare la reale applicabilità delle norme al contratto di agenzia, riteniamo utile fare una brevissima premessa, richiamando i concetti fondamentali così da sgomberare il campo da qualsivoglia fraintendimento.
Quindi:
A. Sono DATI PERSONALI quelle “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.”. Particolarmente importanti sono:
>> i dati che permettono l’identificazione diretta (ad esempio dati anagrafici, le immagini), ovvero l’identificazione indiretta (ad esempio il codice fiscale, indirizzo IP, numero di targa);
>> i dati che rientrano in particolari categorie: trattasi dei dati c.d. “sensibili” (ad esempio origine razziale od etnica, convinzioni religiose, appartenenza sindacale, relativi alla salute), tra cui anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
>> i dati c.d. giudiziari, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale.
B. Si parla di TRATTAMENTO quando ci si riferisce alle operazioni (anche tra loro congiunte), compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali. E, dunque, la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
C. Tra i soggetti -che qui interessa trattare- ritroviamo (a) il TITOLARE DEL TRATTAMENTO, ovvero la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; e (b) il RESPONSABILE DEL TRATTAMENTO, ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
L’Agente è Titolare o Responsabile del Trattamento dei Dati?
Alla domanda non c’è una risposta univoca e certa e -come spesso accade- occorre verificare come il rapporto viene (e verrà) effettivamente eseguito dai contraenti. Si è visto, infatti, che l’agente, per il suo ruolo peculiare, non è per nulla facile da incasellare nelle categorie anzidette (titolare o responsabile del trattamento), tanto che non di rado ha causato difficoltà ad aziende e all’Autorità Garante.
Per determinare, dunque, quale ruolo l’agente rivesta ai fini “privacy” è necessario passare per una “classificazione” del suo ruolo rispetto all’azienda o alle aziende preponenti per cui opera.
Possiamo individuare tre situazioni tipo (la terza possiamo definirla marginale, nella prassi):
>> L’AGENTE REPERISCE E GESTISCE PER CONTO PROPRIO LISTE DI CLIENTI E IN SEGUITO SCEGLIE A QUALE DEI PROPRI PREPONENTI PROPORRE LA CONCLUSIONE DELL’AFFARE. In questo caso l’agente sarà titolare autonomo del trattamento. Per l’effetto, l’agente sarà tenuto, nel momento in cui raccoglie i dati e le manifestazioni di interesse, fornire ai potenziali clienti una propria informativa privacy in quanto titolare; la preponente, coinvolta successivamente dall’agente, dovrà, al momento della firma del contratto con il cliente, fornire a quest’ultimo la propria informativa privacy.
>> L’AGENTE REPERISCE, PER CONTO DEL PREPONENTE, DEI CLIENTI E/O LAVORA SU LISTE DI CONTATTI CHE GLI SONO STATE SOTTOPOSTE DAL PREPONENTE. In questo caso l’agente sarà responsabile esterno del trattamento e il preponente sarà il titolare. In tal caso, l’agente dovrà fornire la sua informativa, limitandosi a consegnare la modulistica privacy predisposta dal preponente (salvo particolari situazioni). Il preponente è il titolare del trattamento dei dati dei clienti con tutti gli obblighi che da ciò ne derivano. L’agente è, di fatto, un’appendice esterna del preponente.
>> L’AGENTE NON SOLO AGISCE PER CONTO DEL PREPONENTE, MA OPERA ESCLUSIVAMENTE CON STRUMENTI DEL PREPONENTE, IN UFFICI MESSI A DISPOSIZIONE DAL PREPONENTE, SU GESTIONALI DEL PREPONENTE E SEGUENDO LE ISTRUZIONI DEL PREPONENTE. In questo caso, ai fini privacy, l’agente diviene un soggetto che opera sotto l’autorità del preponente (ex 29 GDPR). Non c’è più ragione di parlare di responsabile esterno del trattamento perché l’agente è del tutto interiorizzato nella struttura del titolare e non si distingue, almeno con riferimento al trattamento dei dati, da un dipendente qualsiasi.
La nomina del responsabile e gli obblighi
Secondo quanto stabilito dall’art. 28 del GDPR, i trattamenti da parte di un responsabile del trattamento sono disciplinati dal contratto di elaborazione dati (anche “DPA”, Data Processing Agreement o Data Processing Addendum) che vincola il responsabile del trattamento al titolare e che precisa:
. la materia disciplinata;
. la durata del trattamento;
. la natura e la finalità del trattamento;
. il tipo di dati personali e le categorie di interessati;
. gli obblighi e i diritti del titolare del trattamento.
Il responsabile è tenuto ad attenersi alle istruzioni impartite dal titolare nel contratto di nomina e, nell’adempiere al proprio mandato, dovrà rispettare i seguenti obblighi:
>> obblighi di trasparenza
Il Responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del GDPR e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR).
>> obbligo di garantire la sicurezza dei dati
Il Responsabile deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR).
Dovrà, inoltre, garantire la riservatezza dei dati, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
>> obbligo di avvisare, assistere e consigliare il titolare
Il Responsabile dovrà, quindi, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati.
Conclusione
Quanto sopra esposto, evidentemente, non è di immediata attuazione ma -volenti o nolenti- il GDPR è parte integrante del nostro ordinamento (da tempo ormai) e come tale va senz’altro applicato con la dovuta rigorosa attenzione. In caso contrario, i rischi rilevano sotto più profili: (a) civile, (b) penale e (c) amministrativo.
La gravità delle sanzioni, certamente, varia nel caso in cui l’agente rivesta la qualifica di titolare del trattamento ovvero di responsabile: in sede civile, il titolare risponde, ad esempio, del danno cagionato nel caso in cui non riesca a dimostrare di aver predisposto tutte le misure idonee a prevenire il danno; il responsabile, invece, risponderà se non ha adempiuto agli obblighi previsti dal GDPR o se non ha seguito le legittime istruzioni del titolare del trattamento.