La decisione di affidare all’esterno un trattamento è una scelta del tutto discrezionale del Titolare. In alternativa, potrebbe optare per una modalità di gestione che preveda il trattamento di dati personali esclusivamente all’interno della propria struttura aziendale.

 

Nel caso un titolare opti per l’esternalizzazione di un trattamento, dovranno essere sempre rispettate le seguenti regole:

  • selezione accurata e preventiva del soggetto che si intende mettere a capo del trattamento.
  • approfondita valutazione della politica aziendale in merito alla tutela dei dati personali, alla sicurezza delle informazioni e al sistema di gestione privacy che il soggetto selezionato ha adottato.
  • nomina formale a responsabile del soggetto prescelto con dettagliata definizione di attività, modalità e ambito di trattamento che si intende delegare.
  • comunicazione agli interessati della nuova modalità di trattamento definita.
  • implementazione di una procedura per la puntuale verifica del rispetto delle funzioni delegate e delle istruzioni impartite al responsabile.

 

Nel caso in cui il titolare sia una persona giuridica che decida di affidare un’attività di trattamento ad una sua unità periferica priva di potere decisionale autonomo, si ricadrà sempre ancora nella fattispecie del trattamento svolto all’interno della struttura aziendale, in quanto il Codice Privacy definisce esplicitamente titolare la persona giuridica nel suo complesso.

 

In tutti gli altri casi in cui il titolare decida facoltativamente di affidare in esterno un trattamento si sarà invece in presenza di un responsabile del trattamento.

Il soggetto esterno cui viene delegato un trattamento, infatti, non può essere considerato in nessun caso titolare, ma dev’essere inquadrato obbligatoriamente con la figura del responsabile, come previsto ex art.29 D. lgs 196/03.

Da ciò ne consegue che ogni qualvolta un titolare decida di affidare in esterno un trattamento dovrà procedere con la nomina a responsabile del soggetto prescelto e dovrà portare a conoscenza degli interessati tale nuova modalità di trattamento.

 

Prima di procedere alla nomina del Responsabile Esterno, il Titolare deve valutare la politica aziendale in merito alla tutela dei dati personali, la sicurezza delle informazioni e il sistema di gestione privacy adottato.

 

Generalmente, scegliere di esternalizzare un trattamento equivale ad affidare il trattamento in esterno a soggetti terzi, instaurando un rapporto di tipo contrattuale cliente/fornitore.

Le forme contrattuali più comuni per l’affidamento in esterno delle attività di trattamento sono:

  • Il contratto d’appalto di servizi, qualora il Titolare intenda affidare a Terzi l’esecuzione di attività che possano prevedere per il loro compimento anche il trattamento di dati personali;
  • Il contratto d’opera, quando l’attività esternalizzata viene svolta con “lavoro prevalentemente proprio” e il prestatore d’opera non dispone di una vera e propria organizzazione imprenditoriale;
  • Il contratto di outsourcing, qualora il Titolare decidesse di attuare un’operazione di decentramento produttivo e delegasse a soggetti terzi attività che, in precedenza, veniva svolte internamente utilizzando risorse materiali e immateriali proprie.

 

L’esternalizzare la responsabilità del trattamento dei dati comporta vantaggi sia per il titolare, che per il Responsabile.

 

Il Titolare può affidare al di fuori della propria struttura operazioni e servizi, evitando di ricadere nella rigida disciplina prevista dal Codice Privacy in materia di comunicazione di dati vigente qualora il soggetto esterno non fosse investito con la nomina in questione. Il Responsabile, infatti, grazie alla nomina entra a far parte dell’organigramma di privacy del Titolare e il flusso di informazioni tra essi potrà essere considerato come semplice trasferimento interno di dati.

Nel caso concreto, il Titolare potrebbe comunicare i dati all’esterno della struttura senza dover chiedere il consenso agli interessati.

 

Dall’altro lato, accettando la nomina a Responsabile esterno, la società terza ha un’evidente agevolazione: entra a far parte dell’organigramma di privacy del Titolare, i cui adempimenti, validi anche per il terzo, sono sufficienti a legittimare l’intero flusso di dati del cliente all’interno dell’organigramma allargato.