Indice
ToggleLa figura dell’agente non è per nulla facile da incasellare ed ha causato non pochi grattacapi ad aziende e all’Autorità Garante: per comprendere se l’agente agisce come responsabile del trattamento o titolare del trattamento è necessario, di volta in volta, verificare come il rapporto viene (e verrà) effettivamente eseguito dai contraenti.
L’adeguamento privacy dell’agente passa quindi necessariamente per una “classificazione” del suo ruolo rispetto all’azienda o alle aziende per cui opera.
1. Titolare, responsabile o incaricato?
La posizione dell’agente di commercio dal punto di vista privacy è sempre stata dibattuta, soprattutto per il fatto che l’agente devono agire in conformità con le istruzioni del preponente, ma al contempo esercita quest’attività con autonomia e indipendenza, non essendo sottoposto al potere di direzione e coordinamento del soggetto preponente.
Da un lato, infatti, i preponenti avevano tutto l’interesse a disinteressarsi dell’attività e dei metodi degli agenti e spingevano quindi per una loro qualificazione come titolari autonomi del trattamento, mentre dall’altro il Garante ha sempre spinto per una responsabilizzazione dei preponenti con riguardo all’attività degli agenti.
Secondo la prospettiva avallata dalle aziende mandanti, da un lato avremmo il preponente, titolare autonomo del trattamento, e dall’altro avremmo l’agente, anch’egli titolare autonomo del trattamento, che in un modo o nell’altro reperisce dei contatti per una potenziale contrattualizzazione in capo al preponente e comunica a quest’ultimo il dato.
Questo inquadramento è particolarmente vantaggioso per il preponente perché così lui non deve preoccuparsi del “come” gli agenti reperiscono i dati (magari contattando clienti persone fisiche con metodi invasivi e senza curarsi ad esempio di consultare il registro delle opposizioni o di verificare il loro consenso a ricevere comunicazioni marketing), in quanto il trattamento dati rimane “separato” fra i due soggetti e ognuno è responsabile per quanto accade sotto il proprio controllo.
È però da molti anni che il Garante privacy italiano ha sconfessato questa tesi, confermando che l’inquadramento degli agenti, salvo casi eccezionali, non va ricondotto nell’ipotesi del titolare autonomo, quanto piuttosto in quella del responsabile esterno del trattamento.
Dopo una serie di provvedimenti nei confronti di varie aziende (spec. compagnie telefoniche) che si servivano di agenti per la promozione e commercializzazione dei loro prodotti e che pretendevano di non rispondere dell’operato dei loro agenti proprio perché “titolari autonomi” del trattamento dati, il Garante già nel 2011 adottava un provvedimento generale in cui disponeva che:
“tutti i preponenti […] procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento”.[1]
Dopo l’entrata in vigore del GDPR (applicabile dal 25.05.2018) la situazione non è cambiata, come ci dimostrano le più recenti prese di posizione del Garante sul punto.
2. Il provvedimento del 9.7.2020 contro Wind Tre.
Un interessante esempio ci arriva dal recente provvedimento del Garante nei confronti di Wind Tre, dove l’Autorità precisa l’inquadramento di agenti e procacciatori alla luce delle categorie del GDPR.
In particolare, il provvedimento riguarda l’attività posta in essere da un agente di Wind, il quale, seppure fosse stato correttamente inquadrato da Wind quale responsabile esterno del trattamento (sottoscrivendo apposita nomina e offrendo anche un percorso di formazione al proprio collaboratore esterno a tema privacy[2]), quest’ultimo aveva indirizzato ai propri procacciatori direttive tese alla raccolta di consensi privacy decisamente “originali”. Come riferiva un procacciatore, infatti:
“seguendo le indicazioni del capo area signor …, nel corso di ogni attivazione di sim card, l’operatore di riferimento deve flaggare d’iniziativa tutti i consensi ivi previsti. Tale operazione tra l’altro è agevolata da un apposito pulsante presente all’interno del gestionale […]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all’attenzione dell’interessato per l’accettazione di presa visione dell’informativa e rilascio dei consensi, quest’ultimo dovesse manifestare perplessità sui consensi presenti nel modello di riferimento, l’operatore provvede a modificarli secondo le indicazioni fornite direttamente dall’interessato”.
L’attività posta in essere dall’agente era chiaramente illecita in quanto il consenso privacy deve essere “espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”[3] e non può essere coartato o implicito.
Chiarita quindi l’illiceità del comportamento dell’agente di Wind, rimaneva però da comprendere a chi fosse imputabile questo illecito.
Nel caso di specie, Wind (titolare del trattamento) affermava, difendendosi, di non essere responsabile per il comportamento autonomo e indipendente del proprio responsabile esterno (l’agente) che, nonostante la corretta formazione impartita e le corrette istruzioni ricevute, aveva agito di propria iniziativa violando il GDPR.
Questa tesi è stata però recisamente smentita dal Garante in quanto è evidente che l’agente non avesse un interesse proprio a raccogliere consensi per conto di Wind forzando la volontà dei clienti.
La pronuncia conferma poi il corretto inquadramento dell’agente come responsabile esterno, arrivando anzi ad affermare che:
“tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente”.
Il rapporto titolare/responsabile sussiste quindi, nei fatti, non solo se il preponente si disinteressa completamente dell’esistenza di un rapporto di mandato, ma anche qualora lo disconosce.
Ulteriore importante precisazione del Garante, contenuta nel provvedimento oggetto di analisi, riguarda gli stessi procacciatori che erano stati contrattualizzati dall’agente di Wind. In particolare, l’agente, che non li aveva inquadrati come responsabili del trattamento o comunque autorizzati a svolgere operazioni di trattamento, sul (erroneo) presupposto che gli stessi “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.
Il Garante sconfessa la tesi avanzata dall’agente e “bacchetta” lo stesso, dichiarando che quest’ultimo avrebbe dovuto nominare i procacciatori quali responsabili esterni del trattamento (sub-responsabili nei confronti di Wind) e/o autorizzati al trattamento (categoria che raggruppa i dipendenti e i soggetti assimilabili e che quindi presuppone un rapporto di più ampia direzione e controllo in capo al datore di lavoro) a seconda del caso.
3. Il ruolo dell’Agente: titolare o responsabile?
Ciò chiarito, per valutare se, nel singolo caso, l’agente debba essere inquadrato come titolare o responsabile del trattamento, bisogna in primo luogo comprendere come il rapporto viene (e verrà) effettivamente eseguito dai contraenti. Per semplificare, possiamo individuare tre situazioni tipo:
- l’agente reperisce e gestisce per conto proprio liste di clienti, fornisce loro un’informativa privacy in veste di titolare e in seguito sceglie a quale dei propri preponenti proporre la conclusione dell’affare (a quel punto il preponente “selezionato” produrrà al potenziale cliente la sua informativa privacy insieme al contratto). In questo caso l’agente sarà titolare autonomo del trattamento.
- l’agente reperisce, per conto del preponente, dei clienti e/o lavora su liste di contatti che gli sono state sottoposte dal preponente. In questo caso l’agente sarà responsabile esterno del trattamento e il preponente sarà il titolare. L’agente non dovrà fornire la propria informativa, ma si limiterà a fornire al cliente la modulistica privacy predisposta dal preponente, salvo situazioni particolari (es. l’agente vuole gestire in autonomia i dati dei clienti del preponente, ove il mandato di agenzia lo consenta, per inviare ai clienti comunicazioni informative etc., in quel caso dovrà sottoporre ai clienti una seconda informativa raccogliendo in proprio il consenso per questo trattamento). Il trattamento dei dati avviene sotto il cappello dell’organizzazione del titolare, di cui l’agente costituisce un’appendice esterna.
- l’agente non solo agisce per conto del preponente, ma opera esclusivamente con strumenti del preponente, in uffici messi a disposizione dal preponente, su gestionali del preponente e seguendo le istruzioni del preponente. In questo caso, ai fini privacy, l’agente diviene un soggetto che opera sotto l’autorità del preponente (ex 29 GDPR), in quanto non c’è più ragione di parlare di responsabile esterno del trattamento perché l’agente è del tutto interiorizzato nella struttura del titolare e non si distingue, almeno con riferimento al trattamento dei dati, da un dipendente qualsiasi.
– Leggi anche: Il contratto di agenzia e il rapporto di lavoro subordinato: criteri distintivi e parametri valutativi.
È evidente che nella maggioranza dei casi la figura dell’agente ricade nell’ipotesi di cui al punto (2) e che l’agente rivestirà il ruolo del responsabile esterno del trattamento.
4. Differenze in UE
Sul punto va solo evidenziato che in altri ordinamenti europei la situazione può variare, ad esempio in un commentario al GDPR prodotto in Inghilterra gli agenti vengono inseriti “di norma” nella categoria dei soggetti autorizzati al trattamento (ipotesi (3)):
“The latter category of persons who are not third parties normally comprises the employees, agents and subcontractors of the controller or processor which/who process data for them under their direct authority”[4]
In direzione contraria sembrerebbe muoversi, invece, il sistema tedesco, con la Corte d’Appello di Monaco che in un giudizio del 2019[5] riconduce il rapporto di agenzia ai fini privacy ad un rapporto fra titolari autonomi del trattamento.
La Corte, in particolare, nell’indagare sull’onere per il mandante di produrre all’agente un estratto conto relativo ai contratti conclusi grazie all’opera di intermediazione dell’agente, si scontra con l’eccezione della mandante relativa al fatto che tali dati non sarebbero suscettibili di trasmissione, perché tale trasmissione non potrebbe avvenire se non con il consenso dell’interessato (secondo la mandante, nel caso, non sussiste né un obbligo di legge alla trasmissione del dato, né questa condivisione è necessaria per adempiere il contratto fra mandante e cliente).
La Corte di Monaco, nel rigettare la ricostruzione della mandante, ne accetta però le premesse e conferma che di trasmissione (“übermittlung”) dei dati si tratta[6], salvo poi affermare che questa trasmissione può legittimamente avvenire per il legittimo interesse dell’agente a conoscere i dati.
La ricostruzione della Corte bavarese parte quindi dal presupposto che fra agente e preponente ci sia un rapporto paritario ed autonomo, senza che il primo debba inquadrarsi quale responsabile del secondo, per questo il Giudice risolve l’eccezione individuando nel legittimo interesse lo strumento per legittimare il fatto che l’agente conosca dati di terzi (clienti della mandante da egli contrattualizzati).
Un giudice italiano, investito della medesima questione, avrebbe probabilmente ricondotto la legittimità del passaggio di dai al rapporto titolare/responsabile che intercorre fra mandante ed agente, che legittima l’affidamento di dati (pur “sorvegliato” nella sua adeguatezza) fra un soggetto e l’altro sulla base del contratto di nomina che li vincola.
Verosimilmente una lettura come quella offerta dalla Corte tedesca, pur difficile da conciliare con le linee guida EDPB, trova fondamento nel rapporto di indipendenza dell’agente, enunciato dall’art. 1, comma secondo della direttiva Europea in tema di agenti di commercio (86/653/CEE) e recepito dal §84 del codice di commercio tedesco, che così recita:
“A commercial agent is someone who, as an independent trader, is permanently entrusted with brokering transactions for another entrepreneur (entrepreneur) or concluding them on his behalf. Self-employed is one who is essentially free to shape his activity and determine his working time.”[7]
A conferma di ciò, anche dalla lettura della “guida all’interpretazione” del GDPR, redatta dall’Ufficio statale bavarese per il controllo della protezione dei dati, si evince che l’ordinamento tedesco propende per l’inserito dell’agente di commercio tra i soggetti che ricoprono (normalmente) la funzione di titolare del trattamento e non quella di responsabile[8], dando, appunto, particolare valore al ruolo di operatore indipendente che quest’ultimo ricopre nel rapporto contrattuale.
– Leggi anche: L’agente persona fisica, il lavoro parasubordinato e il rito lavoro.
5. L’adeguamento privacy dell’agente
Cosa deve fare quindi l’agente, per essere in regola dal punto di vista privacy?
Il documento fondamentale per l’agente, nella fisiologica ipotesi (2) che abbiamo visto, diventa la nomina a responsabile esterno, ex art. 28 GDPR, ovvero un vero e proprio contratto in cui viene disciplinata la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, la durata del trattamento, etc.
Questo documento sarà quindi fondamentale per l’agente per comprendere che dati potrebbero essergli affidati, a chi li può comunicare, cosa deve fare se un cliente chiede di esercitare i propri diritti privacy, come deve comportarsi in caso di data breach (es. l’agente perde il laptop in cui conservava i dati dei clienti del preponente), etc.
Tre cose sono particolarmente importanti nella nomina:
- cosa accade ai dati trattati per conto del cliente al termine del contratto di nomina, ovvero se questi vanno restituiti, distrutti o conservati (chiaramente l’agente potrà comunque trattenere i dati se questo gli serve per poter dimostrare la sua prestazione ed essere pagato ad esempio);
- se l’agente può nominare sub-responsabili e le procedure da adottare nel caso. Alcune nomine prevedono la possibilità di nominare sub-responsabili solo previo assenso del titolare, altre invece lasciano maggiore libertà all’agente, alcune però prevedono che l’agente comunque comunichi al titolare i sub-responsabili che impiega per trattare i suoi dati. E bisogna tener conto che i sub-responsabili non sono solo i sub-agenti, ma tutti i fornitori che trattano i dati dei clienti del preponente (ad esempio, e banalmente, se conservo i dati su Google Drive, è Google ad essere mio sub-responsabile del trattamento, e se la nomina prevede il previo assenso del titolare per la nomina del sub-responsabile, dovrò chiedere al preponente se posso utilizzare Google per conservare i suoi dati ad esempio);
- i diritti di audit del titolare, che a seconda dei casi potrebbe prescrivere dei semplici audit cartolari (questionari sul livello di adeguamento dell’agente) o anche più invasive ispezioni presso gli uffici dell’agente (che in alcuni casi, magari se plurimandatario, dovrà valutare se respingere una simile clausola perché magari rischia di contrastare con precedenti impegni privacy presi con altri preponenti).
Se manca la nomina, è opportuno che l’agente si confronti con il preponente sul punto e, nel caso di inerzia del preponente, prenda egli stesso l’iniziativa, sottoponendo al preponente una c.d. “auto-nomina” a responsabile esterno così da regolare efficacemente i rapporti fra le parti.
L’agente dovrebbe poi tenere un registro dei trattamenti, ex art. 30 GDPR (documento obbligatorio solo per aziende che hanno più di 250 dipendenti o che effettuano trattamenti dati che comportano rischi o che coinvolgono dati appartenenti a categorie particolari, ma sempre caldamente consigliato perché consente anche all’agente di individuare e monitorare i flussi dati della sua attività professionale).
Oltre a questo registro dei trattamenti (caldamente consigliato) andrà poi (questa volta obbligatoriamente) tenuto un registro dei trattamenti del responsabile. Questo particolare registro dei trattamenti va compilato per ciascun preponente che nomina l’agente quale responsabile esterno. Solitamente nelle singole nomine sono presenti riferimenti a questo registro e eventuali richieste del titolare sulla sua tenuta.
Sul sito del Garante privacy è presente, a questa pagina, sia un modello di registro dei trattamenti, sia un modello di registro dei trattamenti del responsabile.
6. B2C e B2B
Va poi tenuto presente che anche se questa nomina assume rilievo certo più pressante quando l’agente deve contattare persone fisiche per conto del preponente, non è una formalità che possa essere esclusa anche quando l’agente si occupi solo di B2B e debba contattare prevalentemente imprese per conto del preponente.
Anche in questo caso, infatti, l’agente potrebbe trattare dati dei singoli soggetti all’interno delle società clienti (anche, banalmente, nome, numero di telefono, email, etc.), ovvero dati di ditte individuali o di professionisti che sono a tutti gli effetti dati personali ed è quindi necessario in ogni caso formalizzare ai fini privacy il rapporto con la mandante.
7. Le informative
Chiariti i rapporti con il preponente, normati generalmente nel contratto di nomina, è opportuno che l’agente produca le proprie informative.
Normalmente l’agente non dovrà produrre informative ai clienti che contatta per conto del preponente (al massimo dovrà fornire, secondo le indicazioni di cui alla nomina, l’informativa del preponente), ma questo non toglie che l’agente abbia comunque bisogno di un’informativa.
Ad esempio, l’agente tratterà i dati del preponente, dei suoi fornitori, consulenti, collaboratori, dipendenti, sub-agenti, etc.
Tutti questi trattamenti dati l’agente non li fa “per conto” di un preponente, bensì li fa in autonomia, e sarà necessario sottoporre ai vari soggetti con cui entra in contatto per conto proprio un’informativa su come tratterà i dati di questi soggetti.
L’informativa, che generalmente non comporta la richiesta di un consenso privacy in quanto è finalizzata alla sola gestione del contratto fra le parti, deve essere comunque fornita al fine di documentare che il soggetto interessato dal trattamento dei dati è stato informato su come l’agente si comporterà con i suoi dati personali. La prova di aver sottoposto al soggetto interessato l’informativa (una firma sul modulo, la mail con la quale si è inviata l’informativa, il flag sul sito web dell’agente) va mantenuta per tutto il tempo per cui si trattengono i dati.
L’informativa va redatta con criterio, senza affidarsi acriticamente a moduli online (pensate ad esempio al responsabile esterno Google per il cloud aziendale, Google salvo determinati contratti comporta un trasferimento dati in USA, scegliere un’informativa base in cui è scritto che i dati non verranno in nessun caso trasferiti al di fuori dell’Unione Europea è già un errore facilmente individuabile in sede di eventuale controllo).
8. Nomine, autorizzazioni, etc.
Oltre a questi documenti e accorgimenti di base, l’architettura privacy dell’agente cresce al crescere della struttura. I sub-agenti andranno nominati come responsabili esterni, così come il consulente del lavoro, il soggetto che fornisce il cloud aziendale (nel caso si tratterà più che altro di rinvenire l’auto-nomina che queste grandi società predispongono quasi sempre ma a volte si fa fatica a rinvenire) nonché tutti quei partner che non si trovano in posizione di subordinazione rispetto all’agente e che nel fornirgli i loro servizi trattano dati per conto dell’agente (salvo casi particolari come ad esempio un partner con una particolare qualifica professionale, ad esempio un avvocato o un commercialista, che rimangono titolari autonomi anche se trattano dati per conto dell’agente).
I dipendenti (e i soggetti a loro assimilabili) dovranno ricevere più dettagliati incarichi su come trattare i dati sia cartacei che informatici, regolando i loro accessi ai sistemi e ai dispositivi aziendali e dovranno essere formati adeguatamente.
Il sito web andrà adeguato con privacy e cookie policy e all’aumentare di importanza della struttura sarà opportuno adottare policy per definire come gestire in maniera coordinata i data breach, come rispondere alle richieste di accesso, come gestire software e strumenti informatici etc.
9. L’adeguamento come work in progress
La normativa europea impone un approccio a 360 gradi al fenomeno privacy, verificando per ogni attività aziendale se può coinvolgere dati personali e come questi sono posizionati nella struttura privacy aziendale.
L’adeguamento deve poi essere sempre considerato un work in progress in quanto quello che è adeguato in un momento può diventare obsoleto successivamente. I nostri dati viaggiano sempre più spesso su sistemi e reti informatiche che evolvono a ritmi serrati, se fino a ieri gli standard di sicurezza di un laptop con Windows 7 erano adeguati oggi non è più così, se fino all’anno scorso la formazione per evitare attacchi ransomware comprendeva una serie di esempi adesso gli attaccanti non usano più nessuno di quei metodi e ne hanno inventati di nuovi e più subdoli.
Per quanto possa apparire burocratico e documentale, l’approccio descritto in queste righe è volto solo a creare procedure per rendere più facile un adeguamento sostanziale dell’agente, affinché questo possa guardare con un assetto organizzato a quello che davvero conta, ovvero evitare trattamenti di dati personali fatti con leggerezza e per questo molto rischiosi, pensare alla protezione informatica dei sistemi su cui l’agente lavora (crittografare un dispositivo portatile oggi è davvero banale e gratuito e può cambiare la vita in caso di perdita del dispositivo) e adeguare nel tempo la protezione dei dati all’assetto aziendale che cambia e all’evoluzione normativa e tecnologica.
[1] Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali – 15 giugno 2011, Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011, Registro dei provvedimenti, n. 230 del 15 giugno 2011.
[2] La forma scritta per la nomina a responsabile esterno non è un semplice suggerimento prudenziale, bensì un vero e proprio obbligo normativo, previsto dall’art. 29 par. 9 GDPR (si badi bene, nel linguaggio del GDPR “forma scritta” non vuol dire solo forma cartacea, anzi la normativa europea incoraggia la digitalizzazione della documentazione privacy).
Quanto invece all’obbligo di formazione la normativa prescrive che il responsabile può trattare i dati su istruzione documentata del titolare, quindi in un rapporto di agenzia “semplice” è possibile che siano sufficienti delle mere istruzioni all’agente, mentre nel caso di Wind, che propone agli agenti l’utilizzo di un gestionale proprio, è evidente che questo obbligo di istruzione si trasforma di fatto in un obbligo di formazione dei collaboratori esterni, per garantire che utilizzino in sicurezza e con consapevolezza gli strumenti che l’azienda mette loro a disposizione.
[3] Considerando 32 Reg. UE 679/2016 (GDPR)
[4] The EU General Data Protection Regulation (GDPR): A Commentary” C. Kuner, L. A. Bygrave, C. Docksey, L. Drechsler. Oxford University Press (2020).
[5] Caso 7 U 4012/17 del 31.07.2019
[6] Ai sensi dell’art. 4 punto 2) GDPR la trasmissione è una forma di comunicazione dei dati che a sua volta, a mente dell’art. 14 par. 3 lett. c) GDPR, è un’attività che coinvolge due o più titolari (mentre a responsabili ed autorizzati non vengono comunicati/trasmessi i dati, bensì questi effettuano un trattamento dati per conto del titolare, mentre il soggetto che si presenta all’esterno è, di fatto, unico).
[7] §. 84 HGB “Handelsvertreter ist, wer als selbständiger Gewerbetreibender ständig damit betraut ist, für einen anderen Unternehmer (Unternehmer) Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Selbständig ist, wer im wesentlichen frei seine Tätigkeit gestalten und seine Arbeitszeit bestimmen kann”.
[8] Auslegungshilfe | Bayerisches Landesamt für Datenschutzaufsicht.