{"id":7409,"date":"2021-10-19T18:26:17","date_gmt":"2021-10-19T16:26:17","guid":{"rendered":"https:\/\/www.francescogozzo.com\/?p=7409"},"modified":"2024-06-17T11:09:33","modified_gmt":"2024-06-17T11:09:33","slug":"agente-di-commercio-titolare-trattamento","status":"publish","type":"post","link":"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/","title":{"rendered":"Commercial agent: responsible or owner of the data processing?"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_80 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Indice<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#1_Titolare_responsabile_o_incaricato\" >1. Titolare, responsabile o incaricato?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#2_Il_provvedimento_del_972020_contro_Wind_Tre\" >2. Il provvedimento del 9.7.2020 contro Wind Tre.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#3_Il_ruolo_dellAgente_titolare_o_responsabile\" >3. Il ruolo dell\u2019Agente: titolare o responsabile?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#4_Differenze_in_UE\" >4. Differenze in UE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#5_Ladeguamento_privacy_dellagente\" >5. L\u2019adeguamento privacy dell\u2019agente<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#6_B2C_e_B2B\" >6. B2C e B2B<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#7_Le_informative\" >7. Le informative<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#8_Nomine_autorizzazioni_etc\" >8. Nomine, autorizzazioni, etc.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/francescogozzo.com\/eng\/agente-di-commercio-titolare-trattamento\/#9_Ladeguamento_come_work_in_progress\" >9. L\u2019adeguamento come work in progress<\/a><\/li><\/ul><\/nav><\/div>\n\r\n\r\n\r\n<h3 class=\"wp-block-heading\">La figura dell\u2019agente non \u00e8 per nulla facile da incasellare ed ha causato non pochi grattacapi ad aziende e all\u2019Autorit\u00e0 Garante: per comprendere se l&#8217;agente agisce come responsabile del trattamento o titolare del trattamento \u00e8 necessario, di volta in volta, verificare come il rapporto viene (e verr\u00e0) effettivamente eseguito dai contraenti.<\/h3>\r\n\r\n\r\n\r\n<h3 class=\"wp-block-heading\">L\u2019adeguamento <em>privacy<\/em> dell\u2019agente passa quindi necessariamente per una \u201cclassificazione\u201d del suo ruolo rispetto all\u2019azienda o alle aziende per cui opera.<\/h3>\r\n\r\n\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"1_Titolare_responsabile_o_incaricato\"><\/span><em><span style=\"text-decoration: underline;\">1. <strong>Titolare, responsabile o incaricato?<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>La posizione dell&#8217;agente di commercio dal punto di vista <em>privacy<\/em> \u00e8 sempre stata dibattuta, soprattutto per il fatto che l&#8217;agente devono agire in conformit\u00e0 con le istruzioni del preponente, ma al contempo esercita quest\u2019attivit\u00e0 con autonomia e indipendenza, non essendo sottoposto al potere di direzione e coordinamento del soggetto preponente.<\/p>\r\n\r\n\r\n\r\n<p>Da un lato, infatti, i preponenti avevano tutto l\u2019interesse a disinteressarsi dell\u2019attivit\u00e0 e dei metodi degli agenti e spingevano quindi per una loro qualificazione come <a href=\"https:\/\/www.cybersecurity360.it\/legal\/privacy-dati-personali\/titolare-autonomo-o-responsabile-del-trattamento-criteri-per-lattribuzione-del-ruolo\/\" target=\"_blank\" rel=\"noopener\">titolari autonomi del trattamento<\/a>, mentre dall\u2019altro il Garante ha sempre spinto per una responsabilizzazione dei preponenti con riguardo all\u2019attivit\u00e0 degli agenti.<\/p>\r\n\r\n\r\n\r\n<p>Secondo la prospettiva avallata dalle aziende mandanti, da un lato avremmo il preponente, titolare autonomo del trattamento, e dall\u2019altro avremmo l\u2019agente, anch\u2019egli titolare autonomo del trattamento, che in un modo o nell\u2019altro reperisce dei contatti per una potenziale contrattualizzazione in capo al preponente e comunica a quest\u2019ultimo il dato.<\/p>\r\n\r\n\r\n\r\n<p>Questo inquadramento \u00e8 particolarmente vantaggioso per il preponente perch\u00e9 cos\u00ec lui non deve preoccuparsi del \u201ccome\u201d gli agenti reperiscono i dati (magari contattando clienti persone fisiche con metodi invasivi e senza curarsi ad esempio di consultare il registro delle opposizioni o di verificare il loro consenso a ricevere comunicazioni marketing), in quanto il trattamento dati rimane \u201cseparato\u201d fra i due soggetti e ognuno \u00e8 responsabile per quanto accade sotto il proprio controllo.<\/p>\r\n\r\n\r\n\r\n<p>\u00c8 per\u00f2 da molti anni che il Garante privacy italiano ha sconfessato questa tesi, confermando che l\u2019inquadramento degli agenti, <strong>salvo casi eccezionali<\/strong>, <strong>non va ricondotto nell\u2019ipotesi del titolare autonomo<\/strong>, quanto piuttosto in quella del responsabile esterno del trattamento.<\/p>\r\n\r\n\r\n\r\n<p>Dopo una serie di provvedimenti nei confronti di varie aziende (spec. compagnie telefoniche) che si servivano di agenti per la promozione e commercializzazione dei loro prodotti e che pretendevano di non rispondere dell\u2019operato dei loro agenti proprio perch\u00e9 \u201ctitolari autonomi\u201d del trattamento dati, il Garante gi\u00e0 nel 2011 adottava un <a href=\"https:\/\/www.garanteprivacy.it\/web\/guest\/home\/docweb\/-\/docweb-display\/docweb\/1821257\" target=\"_blank\" rel=\"noopener\">provvedimento generale<\/a> in cui disponeva che:<\/p>\r\n\r\n\r\n\r\n<p><em>\u00a0\u201ctutti i preponenti [&#8230;] procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le societ\u00e0 ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento<\/em>\u201d.<a href=\"#_ftn1\" name=\"_ftnref1\">[1]<\/a><\/p>\r\n\r\n\r\n\r\n<p>Dopo l\u2019entrata in vigore del GDPR (applicabile dal 25.05.2018) la situazione non \u00e8 cambiata, come ci dimostrano le pi\u00f9 recenti prese di posizione del Garante sul punto.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"2_Il_provvedimento_del_972020_contro_Wind_Tre\"><\/span><em><span style=\"text-decoration: underline;\">2. <strong>Il provvedimento del 9.7.2020 contro Wind Tre.<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Un interessante esempio ci arriva dal recente <a href=\"https:\/\/www.garanteprivacy.it\/web\/guest\/home\/docweb\/-\/docweb-display\/docweb\/9435753\" target=\"_blank\" rel=\"noopener\">provvedimento<\/a> del Garante nei confronti di Wind Tre, dove l\u2019Autorit\u00e0 precisa l\u2019inquadramento di agenti e procacciatori alla luce delle categorie del GDPR.<\/p>\r\n\r\n\r\n\r\n<p>In particolare, il provvedimento riguarda l\u2019attivit\u00e0 posta in essere da un agente di Wind, il quale, seppure fosse stato correttamente inquadrato da Wind quale responsabile esterno del trattamento (sottoscrivendo apposita nomina e offrendo anche un percorso di formazione al proprio collaboratore esterno a tema <em>privacy<a href=\"#_ftn2\" name=\"_ftnref2\"><strong>[2]<\/strong><\/a><\/em>), quest\u2019ultimo aveva indirizzato ai propri procacciatori direttive tese alla raccolta di consensi <em>privacy<\/em> decisamente \u201coriginali\u201d. Come riferiva un procacciatore, infatti:<\/p>\r\n\r\n\r\n\r\n<p>\u201c<em>seguendo le indicazioni del capo area signor &#8230;, nel corso di ogni attivazione di sim card, l\u2019operatore di riferimento deve flaggare d\u2019iniziativa tutti i consensi ivi previsti. Tale operazione tra l\u2019altro \u00e8 agevolata da un apposito pulsante presente all\u2019interno del gestionale [&#8230;]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all\u2019attenzione dell\u2019interessato per l\u2019accettazione di presa visione dell\u2019informativa e rilascio dei consensi, quest\u2019ultimo dovesse manifestare perplessit\u00e0 sui consensi presenti nel modello di riferimento, l\u2019operatore provvede a modificarli secondo le indicazioni fornite direttamente dall\u2019interessato<\/em>\u201d.<\/p>\r\n\r\n\r\n\r\n<p>L\u2019attivit\u00e0 posta in essere dall\u2019agente era chiaramente illecita in quanto il consenso privacy deve essere \u201c<em>espresso mediante un atto positivo inequivocabile con il quale l&#8217;interessato manifesta l&#8217;intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano<\/em>\u201d<a href=\"#_ftn3\" name=\"_ftnref3\">[3]<\/a> e non pu\u00f2 essere coartato o implicito.<\/p>\r\n\r\n\r\n\r\n<p>Chiarita quindi l\u2019illiceit\u00e0 del comportamento dell\u2019agente di Wind, rimaneva per\u00f2 da comprendere a chi fosse imputabile questo illecito.<\/p>\r\n\r\n\r\n\r\n<p>Nel caso di specie, Wind (titolare del trattamento) affermava, difendendosi, di non essere responsabile per il comportamento autonomo e indipendente del proprio responsabile esterno (l\u2019agente) che, nonostante la corretta formazione impartita e le corrette istruzioni ricevute, aveva agito di propria iniziativa violando il GDPR.<\/p>\r\n\r\n\r\n\r\n<p>Questa tesi \u00e8 stata per\u00f2 recisamente smentita dal Garante in quanto \u00e8 evidente che l\u2019agente non avesse un interesse proprio a raccogliere consensi per conto di Wind forzando la volont\u00e0 dei clienti.<\/p>\r\n\r\n\r\n\r\n<p>La pronuncia conferma poi il corretto inquadramento dell\u2019agente come responsabile esterno, arrivando anzi ad affermare che:<\/p>\r\n\r\n\r\n\r\n<p>\u201c<em>tale qualificazione in ordine ai rapporti giuridici fra le parti si pu\u00f2 ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente<\/em>\u201d.<\/p>\r\n\r\n\r\n\r\n<p>Il rapporto titolare\/responsabile sussiste quindi, nei fatti, non solo se il preponente si disinteressa completamente dell\u2019esistenza di un rapporto di mandato, ma anche qualora lo disconosce.<\/p>\r\n\r\n\r\n\r\n<p>Ulteriore importante precisazione del Garante, contenuta nel provvedimento oggetto di analisi, riguarda gli stessi procacciatori che erano stati contrattualizzati dall\u2019agente di Wind. In particolare, l\u2019agente, che non li aveva inquadrati come responsabili del trattamento o comunque autorizzati a svolgere operazioni di trattamento, sul (erroneo) presupposto che gli stessi \u201c<em>operano autonomamente\u201d<\/em> e \u201c<em>ogni procacciatore \u00e8 libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali<\/em>\u201d.<\/p>\r\n\r\n\r\n\r\n<p>Il Garante sconfessa la tesi avanzata dall\u2019agente e \u201cbacchetta\u201d lo stesso, dichiarando che quest\u2019ultimo avrebbe dovuto nominare i procacciatori quali responsabili esterni del trattamento (sub-responsabili nei confronti di Wind) e\/o autorizzati al trattamento (categoria che raggruppa i dipendenti e i soggetti assimilabili e che quindi presuppone un rapporto di pi\u00f9 ampia direzione e controllo in capo al datore di lavoro) a seconda del caso.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"3_Il_ruolo_dellAgente_titolare_o_responsabile\"><\/span><em><span style=\"text-decoration: underline;\">3. <strong>Il ruolo dell\u2019Agente: titolare o responsabile?<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Ci\u00f2 chiarito, per valutare se, nel singolo caso, l\u2019agente debba essere inquadrato come titolare o responsabile del trattamento, bisogna in primo luogo comprendere come il rapporto viene (e verr\u00e0) effettivamente eseguito dai contraenti. Per semplificare, possiamo individuare tre situazioni tipo:<\/p>\r\n\r\n\r\n\r\n<ul class=\"wp-block-list\">\r\n<li>l\u2019agente reperisce e gestisce per conto proprio liste di clienti, fornisce loro un\u2019informativa <em>privacy<\/em> in veste di titolare e in seguito sceglie a quale dei propri preponenti proporre la conclusione dell\u2019affare (a quel punto il preponente \u201cselezionato\u201d produrr\u00e0 al potenziale cliente la sua informativa <em>privacy<\/em> insieme al contratto). In questo caso l\u2019agente sar\u00e0 <strong>titolare autonomo del trattamento<\/strong>.<\/li>\r\n<\/ul>\r\n\r\n\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n\r\n\r\n<ul class=\"wp-block-list\">\r\n<li>l\u2019agente reperisce, per conto del preponente, dei clienti e\/o lavora su liste di contatti che gli sono state sottoposte dal preponente. In questo caso l\u2019agente sar\u00e0 <strong>responsabile esterno del trattamento<\/strong> e il preponente sar\u00e0 il titolare. L\u2019agente non dovr\u00e0 fornire la propria informativa, ma si limiter\u00e0 a fornire al cliente la modulistica <em>privacy<\/em> predisposta dal preponente, salvo situazioni particolari (es. l\u2019agente vuole gestire in autonomia i dati dei clienti del preponente, ove il mandato di agenzia lo consenta, per inviare ai clienti comunicazioni informative etc., in quel caso dovr\u00e0 sottoporre ai clienti una seconda informativa raccogliendo in proprio il consenso per questo trattamento). Il trattamento dei dati avviene sotto il cappello dell\u2019organizzazione del titolare, di cui l\u2019agente costituisce un\u2019appendice esterna.<\/li>\r\n<\/ul>\r\n\r\n\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n\r\n\r\n<ul class=\"wp-block-list\">\r\n<li>l\u2019agente non solo agisce per conto del preponente, ma opera esclusivamente con strumenti del preponente, in uffici messi a disposizione dal preponente, su gestionali del preponente e seguendo le istruzioni del preponente. In questo caso, ai fini <em>privacy<\/em>, l\u2019agente diviene un soggetto che <strong>opera sotto l\u2019autorit\u00e0 del preponente<\/strong> (<em>ex<\/em> 29 GDPR), in quanto non c\u2019\u00e8 pi\u00f9 ragione di parlare di responsabile esterno del trattamento perch\u00e9 l\u2019agente \u00e8 del tutto interiorizzato nella struttura del titolare e non si distingue, almeno con riferimento al trattamento dei dati, da un dipendente qualsiasi.<\/li>\r\n<\/ul>\r\n\r\n\r\n\r\n<p><strong>\u2013 Leggi anche:<\/strong> <a href=\"https:\/\/www.francescogozzo.com\/il-contratto-di-agenzia-e-il-rapporto-di-lavoro-subordinato-criteri-distintivi-e-parametri-valutativi\/\">Il contratto di agenzia e il rapporto di lavoro subordinato: criteri distintivi e parametri valutativi.<\/a><\/p>\r\n\r\n\r\n\r\n<p>\u00c8 evidente che nella maggioranza dei casi la figura dell\u2019agente ricade nell\u2019ipotesi di cui al punto (2) e che l\u2019agente rivestir\u00e0 il ruolo del responsabile esterno del trattamento.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"4_Differenze_in_UE\"><\/span><em><span style=\"text-decoration: underline;\">4. <strong>Differenze in UE<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Sul punto va solo evidenziato che in altri ordinamenti europei la situazione pu\u00f2 variare, ad esempio in un commentario al GDPR prodotto in <strong>Inghilterra<\/strong> gli agenti vengono inseriti \u201cdi norma\u201d nella categoria dei soggetti autorizzati al trattamento (ipotesi (3)):<\/p>\r\n\r\n\r\n\r\n<p>\u201c<em>The latter category of persons who are not third parties normally comprises the employees, agents and subcontractors of the controller or processor which\/who process data for them under their direct authority<\/em>\u201d<a href=\"#_ftn4\" name=\"_ftnref4\">[4]<\/a><\/p>\r\n\r\n\r\n\r\n<p>In direzione contraria sembrerebbe muoversi, invece, il <strong>sistema tedesco<\/strong>, con la Corte d\u2019Appello di Monaco che in un giudizio del 2019<a href=\"#_ftn5\" name=\"_ftnref5\">[5]<\/a> riconduce il rapporto di agenzia ai fini <em>privacy<\/em> ad un rapporto fra titolari autonomi del trattamento.<\/p>\r\n\r\n\r\n\r\n<p>La Corte, in particolare, nell\u2019indagare sull\u2019onere per il mandante di produrre all\u2019agente un estratto conto relativo ai contratti conclusi grazie all\u2019opera di intermediazione dell\u2019agente, si scontra con l\u2019eccezione della mandante relativa al fatto che tali dati non sarebbero suscettibili di <strong>trasmissione<\/strong>, perch\u00e9 tale trasmissione non potrebbe avvenire se non con il consenso dell\u2019interessato (secondo la mandante, nel caso, non sussiste n\u00e9 un obbligo di legge alla trasmissione del dato, n\u00e9 questa condivisione \u00e8 necessaria per adempiere il contratto fra mandante e cliente).<\/p>\r\n\r\n\r\n\r\n<p>La Corte di Monaco, nel rigettare la ricostruzione della mandante, <strong>ne accetta per\u00f2 le premesse<\/strong> e conferma che di trasmissione (\u201c<em>\u00fcbermittlung<\/em>\u201d) dei dati si tratta<a href=\"#_ftn6\" name=\"_ftnref6\">[6]<\/a>, salvo poi affermare che questa trasmissione pu\u00f2 legittimamente avvenire per il legittimo interesse dell\u2019agente a conoscere i dati.<\/p>\r\n\r\n\r\n\r\n<p>La ricostruzione della Corte bavarese parte quindi dal presupposto che fra agente e preponente ci sia un rapporto paritario ed autonomo, senza che il primo debba inquadrarsi quale responsabile del secondo, per questo il Giudice risolve l\u2019eccezione individuando nel legittimo interesse lo strumento per legittimare il fatto che l\u2019agente conosca dati di terzi (clienti della mandante da egli contrattualizzati).<\/p>\r\n\r\n\r\n\r\n<p>Un giudice italiano, investito della medesima questione, avrebbe probabilmente ricondotto la legittimit\u00e0 del passaggio di dai al rapporto titolare\/responsabile che intercorre fra mandante ed agente, che legittima l\u2019affidamento di dati (pur \u201csorvegliato\u201d nella sua adeguatezza) fra un soggetto e l\u2019altro sulla base del contratto di nomina che li vincola.<\/p>\r\n\r\n\r\n\r\n<p>Verosimilmente una lettura come quella offerta dalla Corte tedesca, pur difficile da conciliare con le linee guida EDPB, trova fondamento nel rapporto di indipendenza dell\u2019agente, enunciato dall\u2019art. 1, comma secondo della direttiva Europea in tema di agenti di commercio (<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/?uri=CELEX%3A31986L0653\" target=\"_blank\" rel=\"noopener\">86\/653\/CEE<\/a>) e recepito dal \u00a784 del codice di commercio tedesco, che cos\u00ec recita:<\/p>\r\n\r\n\r\n\r\n<p>\u201c<em>A commercial agent is someone who, as an independent trader, is permanently entrusted with brokering transactions for another entrepreneur (entrepreneur) or concluding them on his behalf. Self-employed is one who is essentially free to shape his activity and determine his working time.<\/em>\u201d<a href=\"#_ftn7\" name=\"_ftnref7\">[7]<\/a><\/p>\r\n\r\n\r\n\r\n<p>A conferma di ci\u00f2, anche dalla lettura della \u201cguida all&#8217;interpretazione\u201d del GDPR, redatta dall\u2019Ufficio statale bavarese per il controllo della protezione dei dati, si evince che l\u2019ordinamento tedesco propende per l\u2019inserito dell\u2019agente di commercio tra i soggetti che ricoprono (normalmente) la funzione di titolare del trattamento e non quella di responsabile<a href=\"#_ftn8\" name=\"_ftnref8\">[8]<\/a>, dando, appunto, particolare valore al ruolo di operatore indipendente che quest\u2019ultimo ricopre nel rapporto contrattuale.<\/p>\r\n\r\n\r\n\r\n<p>\u2013<strong> Leggi anche<\/strong>: <a href=\"https:\/\/www.francescogozzo.com\/lagente-persona-fisica-il-lavoro-parasubordinato-e-il-rito-lavoro\/\">L\u2019agente persona fisica, il lavoro parasubordinato e il rito lavoro.<\/a><\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"5_Ladeguamento_privacy_dellagente\"><\/span><em><span style=\"text-decoration: underline;\">5. <strong>L\u2019adeguamento privacy dell\u2019agente<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Cosa deve fare quindi l\u2019agente, per essere in regola dal punto di vista <em>privacy<\/em>?<\/p>\r\n\r\n\r\n\r\n<p>Il documento fondamentale per l\u2019agente, nella fisiologica ipotesi (2) che abbiamo visto, diventa la <strong>nomina a responsabile esterno<\/strong>, <em>ex <\/em>art. 28 GDPR, ovvero un vero e proprio contratto in cui viene disciplinata la natura e la finalit\u00e0 del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, la durata del trattamento, etc.<\/p>\r\n\r\n\r\n\r\n<p>Questo documento sar\u00e0 quindi fondamentale per l\u2019agente per comprendere che dati potrebbero essergli affidati, a chi li pu\u00f2 comunicare, cosa deve fare se un cliente chiede di esercitare i propri diritti <em>privacy<\/em>, come deve comportarsi in caso di data breach (es. l\u2019agente perde il laptop in cui conservava i dati dei clienti del preponente), etc.<\/p>\r\n\r\n\r\n\r\n<p>Tre cose sono particolarmente importanti nella nomina:<\/p>\r\n\r\n\r\n\r\n<ul class=\"wp-block-list\">\r\n<li>cosa accade ai dati trattati per conto del cliente al termine del contratto di nomina, ovvero se questi vanno restituiti, distrutti o conservati (chiaramente l\u2019agente potr\u00e0 comunque trattenere i dati se questo gli serve per poter dimostrare la sua prestazione ed essere pagato ad esempio);<\/li>\r\n<li>se l\u2019agente pu\u00f2 nominare <strong>sub-responsabili <\/strong>e le procedure da adottare nel caso. Alcune nomine prevedono la possibilit\u00e0 di nominare sub-responsabili solo previo assenso del titolare, altre invece lasciano maggiore libert\u00e0 all\u2019agente, alcune per\u00f2 prevedono che l\u2019agente comunque comunichi al titolare i sub-responsabili che impiega per trattare i suoi dati. E bisogna tener conto che i sub-responsabili non sono solo i sub-agenti, ma tutti i fornitori che trattano i dati dei clienti del preponente (ad esempio, e banalmente, se conservo i dati su Google Drive, \u00e8 Google ad essere mio sub-responsabile del trattamento, e se la nomina prevede il previo assenso del titolare per la nomina del sub-responsabile, dovr\u00f2 chiedere al preponente se posso utilizzare Google per conservare i suoi dati ad esempio);<\/li>\r\n<li>i <strong>diritti di audit<\/strong> del titolare, che a seconda dei casi potrebbe prescrivere dei semplici audit cartolari (questionari sul livello di adeguamento dell\u2019agente) o anche pi\u00f9 invasive ispezioni presso gli uffici dell\u2019agente (che in alcuni casi, magari se plurimandatario, dovr\u00e0 valutare se respingere una simile clausola perch\u00e9 magari rischia di contrastare con precedenti impegni <em>privacy<\/em> presi con altri preponenti).<\/li>\r\n<\/ul>\r\n\r\n\r\n\r\n<p>Se <strong>manca la nomina<\/strong>, \u00e8 opportuno che l\u2019agente si confronti con il preponente sul punto e, nel caso di inerzia del preponente, prenda egli stesso l\u2019iniziativa, sottoponendo al preponente una c.d. \u201cauto-nomina\u201d a responsabile esterno cos\u00ec da regolare efficacemente i rapporti fra le parti.<\/p>\r\n\r\n\r\n\r\n<p>L\u2019agente dovrebbe poi tenere un registro dei trattamenti, <em>ex<\/em> <a href=\"https:\/\/www.privacy.it\/normativa\/gdpr-regolamento-ue-2016679\/\" target=\"_blank\" rel=\"noopener\">art. 30 GDPR<\/a> (documento obbligatorio solo per aziende che hanno pi\u00f9 di 250 dipendenti o che effettuano trattamenti dati che comportano rischi o che coinvolgono dati appartenenti a categorie particolari, ma sempre <strong>caldamente consigliato<\/strong> perch\u00e9 consente anche all\u2019agente di individuare e monitorare i flussi dati della sua attivit\u00e0 professionale).<\/p>\r\n\r\n\r\n\r\n<p><strong>Oltre a questo registro dei trattamenti <\/strong>(caldamente consigliato) <strong>andr\u00e0 poi <\/strong>(questa volta obbligatoriamente)<strong> tenuto un registro dei trattamenti del responsabile. <\/strong>Questo particolare registro dei trattamenti va compilato per ciascun preponente che nomina l\u2019agente quale responsabile esterno. Solitamente nelle singole nomine sono presenti riferimenti a questo registro e eventuali richieste del titolare sulla sua tenuta.<\/p>\r\n\r\n\r\n\r\n<p>Sul sito del Garante <em>privacy<\/em> \u00e8 presente, a <a href=\"https:\/\/www.garanteprivacy.it\/home\/faq\/registro-delle-attivita-di-trattamento#:~:text=Il%20Registro%20dei%20trattamenti%20%C3%A8,dei%20trattamenti%20posti%20in%20essere.\" target=\"_blank\" rel=\"noopener\">questa pagina<\/a>, sia un modello di registro dei trattamenti, sia un modello di registro dei trattamenti del responsabile.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"6_B2C_e_B2B\"><\/span><em><span style=\"text-decoration: underline;\">6. <strong>B2C e B2B<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Va poi tenuto presente che anche se questa nomina assume rilievo certo pi\u00f9 pressante quando l\u2019agente deve contattare persone fisiche per conto del preponente, non \u00e8 una formalit\u00e0 che possa essere esclusa anche quando l\u2019agente si occupi solo di B2B e debba contattare prevalentemente imprese per conto del preponente.<\/p>\r\n\r\n\r\n\r\n<p>Anche in questo caso, infatti, l\u2019agente potrebbe trattare dati dei singoli soggetti all\u2019interno delle societ\u00e0 clienti (anche, banalmente, nome, numero di telefono, email, etc.), ovvero dati di ditte individuali o di professionisti che sono a tutti gli effetti dati personali ed \u00e8 quindi necessario in ogni caso formalizzare ai fini <em>privacy<\/em> il rapporto con la mandante.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"7_Le_informative\"><\/span><em><span style=\"text-decoration: underline;\">7. <strong>Le informative<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Chiariti i rapporti con il preponente, normati generalmente nel contratto di nomina, \u00e8 opportuno che l\u2019agente produca le proprie informative.<\/p>\r\n\r\n\r\n\r\n<p>Normalmente l\u2019agente non dovr\u00e0 produrre informative ai clienti che contatta per conto del preponente (al massimo dovr\u00e0 fornire, secondo le indicazioni di cui alla nomina, l\u2019informativa del preponente), ma questo non toglie che l\u2019agente abbia comunque bisogno di un\u2019informativa.<\/p>\r\n\r\n\r\n\r\n<p>Ad esempio, l\u2019agente tratter\u00e0 i dati del preponente, dei suoi fornitori, consulenti, collaboratori, dipendenti, sub-agenti, etc.<\/p>\r\n\r\n\r\n\r\n<p>Tutti questi trattamenti dati l\u2019agente non li fa \u201cper conto\u201d di un preponente, bens\u00ec li fa in autonomia, e sar\u00e0 necessario sottoporre ai vari soggetti con cui entra in contatto per conto proprio un\u2019informativa su come tratter\u00e0 i dati di questi soggetti.<\/p>\r\n\r\n\r\n\r\n<p>L\u2019informativa, che generalmente non comporta la richiesta di un consenso <em>privacy<\/em> in quanto \u00e8 finalizzata alla sola gestione del contratto fra le parti, deve essere comunque fornita al fine di documentare che il soggetto interessato dal trattamento dei dati \u00e8 stato informato su come l\u2019agente si comporter\u00e0 con i suoi dati personali. La prova di aver sottoposto al soggetto interessato l\u2019informativa (una firma sul modulo, la mail con la quale si \u00e8 inviata l\u2019informativa, il flag sul sito web dell\u2019agente) va mantenuta per tutto il tempo per cui si trattengono i dati.<\/p>\r\n\r\n\r\n\r\n<p>L\u2019informativa va redatta con criterio, senza affidarsi acriticamente a moduli online (pensate ad esempio al responsabile esterno Google per il cloud aziendale, <strong>Google salvo determinati contratti comporta un trasferimento dati in USA<\/strong>, scegliere un\u2019informativa base in cui \u00e8 scritto che i dati non verranno in nessun caso trasferiti al di fuori dell\u2019Unione Europea \u00e8 gi\u00e0 un errore facilmente individuabile in sede di eventuale controllo).<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"8_Nomine_autorizzazioni_etc\"><\/span><em><span style=\"text-decoration: underline;\">8. <strong>Nomine, autorizzazioni, etc.<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>Oltre a questi documenti e accorgimenti di base, l\u2019architettura <em>privacy<\/em> dell\u2019agente cresce al crescere della struttura. I sub-agenti andranno nominati come responsabili esterni, cos\u00ec come il consulente del lavoro, il soggetto che fornisce il cloud aziendale (nel caso si tratter\u00e0 pi\u00f9 che altro di rinvenire l\u2019auto-nomina che queste grandi societ\u00e0 predispongono quasi sempre ma a volte si fa fatica a rinvenire) nonch\u00e9 tutti quei partner che non si trovano in posizione di subordinazione rispetto all\u2019agente e che nel fornirgli i loro servizi trattano dati <strong>per conto<\/strong> dell\u2019agente (salvo casi particolari come ad esempio un partner con una particolare qualifica professionale, ad esempio un avvocato o un commercialista, che rimangono titolari autonomi anche se trattano dati per conto dell\u2019agente).<\/p>\r\n\r\n\r\n\r\n<p>I dipendenti (e i soggetti a loro assimilabili) dovranno ricevere pi\u00f9 dettagliati incarichi su come trattare i dati sia cartacei che informatici, regolando i loro accessi ai sistemi e ai dispositivi aziendali e dovranno essere formati adeguatamente.<\/p>\r\n\r\n\r\n\r\n<p>Il sito web andr\u00e0 adeguato con <em>privacy<\/em> e cookie policy e all\u2019aumentare di importanza della struttura sar\u00e0 opportuno adottare policy per definire come gestire in maniera coordinata i data breach, come rispondere alle richieste di accesso, come gestire software e strumenti informatici etc.<\/p>\r\n\r\n\r\n\r\n<h5 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"9_Ladeguamento_come_work_in_progress\"><\/span><em><span style=\"text-decoration: underline;\">9. <strong>L\u2019adeguamento come work in progress<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h5>\r\n\r\n\r\n\r\n<p>La normativa europea impone un approccio a 360 gradi al fenomeno <em>privacy<\/em>, verificando per ogni attivit\u00e0 aziendale se pu\u00f2 coinvolgere dati personali e come questi sono posizionati nella struttura <em>privacy<\/em> aziendale.<\/p>\r\n\r\n\r\n\r\n<p>L\u2019adeguamento deve poi essere sempre considerato un <strong>work in progress<\/strong> in quanto quello che \u00e8 adeguato in un momento pu\u00f2 diventare obsoleto successivamente. I nostri dati viaggiano sempre pi\u00f9 spesso su sistemi e reti informatiche che evolvono a ritmi serrati, se fino a ieri gli standard di sicurezza di un <em>laptop<\/em> con Windows 7 erano adeguati oggi non \u00e8 pi\u00f9 cos\u00ec, se fino all\u2019anno scorso la formazione per evitare attacchi <em>ransomware<\/em> comprendeva una serie di esempi adesso gli attaccanti non usano pi\u00f9 nessuno di quei metodi e ne hanno inventati di nuovi e pi\u00f9 subdoli.<\/p>\r\n\r\n\r\n\r\n<p>Per quanto possa apparire burocratico e documentale, l\u2019approccio descritto in queste righe \u00e8 volto solo a creare procedure per rendere pi\u00f9 facile un adeguamento sostanziale dell\u2019agente, affinch\u00e9 questo possa guardare con un assetto organizzato a quello che davvero conta, ovvero evitare trattamenti di dati personali fatti con leggerezza e per questo molto rischiosi, pensare alla protezione informatica dei sistemi su cui l\u2019agente lavora (crittografare un dispositivo portatile oggi \u00e8 davvero banale e gratuito e pu\u00f2 cambiare la vita in caso di perdita del dispositivo) e adeguare nel tempo la protezione dei dati all\u2019assetto aziendale che cambia e all\u2019evoluzione normativa e tecnologica.<\/p>\r\n\r\n\r\n\r\n<p class=\"has-text-align-right\" style=\"text-align: right;\"><a href=\"https:\/\/www.linkedin.com\/in\/riccardobertivr\/?originalSubdomain=it\" target=\"_blank\" rel=\"noopener\">Avv. Riccardo Berti<\/a><\/p>\r\n\r\n\r\n<hr class=\"wp-block-separator is-style-default\" \/>\r\n\r\n\r\n<p><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> Titolarit\u00e0 del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivit\u00e0 promozionali &#8211; 15 giugno 2011, Pubblicato sulla Gazzetta Ufficiale n. 153 del 4 luglio 2011, Registro dei provvedimenti, n. 230 del 15 giugno 2011.<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a> La forma scritta per la nomina a responsabile esterno non \u00e8 un semplice suggerimento prudenziale, bens\u00ec un vero e proprio obbligo normativo, previsto dall\u2019art. 29 par. 9 GDPR (si badi bene, nel linguaggio del GDPR \u201cforma scritta\u201d non vuol dire solo forma cartacea, anzi la normativa europea incoraggia la digitalizzazione della documentazione privacy).<\/p>\r\n\r\n\r\n\r\n<p>Quanto invece all\u2019obbligo di formazione la normativa prescrive che il responsabile pu\u00f2 trattare i dati su istruzione documentata del titolare, quindi in un rapporto di agenzia \u201csemplice\u201d \u00e8 possibile che siano sufficienti delle mere istruzioni all\u2019agente, mentre nel caso di Wind, che propone agli agenti l\u2019utilizzo di un gestionale proprio, \u00e8 evidente che questo obbligo di istruzione si trasforma di fatto in un obbligo di formazione dei collaboratori esterni, per garantire che utilizzino in sicurezza e con consapevolezza gli strumenti che l\u2019azienda mette loro a disposizione.<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref3\" name=\"_ftn3\">[3]<\/a> Considerando 32 Reg. UE 679\/2016 (GDPR)<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref4\" name=\"_ftn4\">[4]<\/a> The EU General Data Protection Regulation (GDPR): A Commentary\u201d C. Kuner, L. A. Bygrave, C. Docksey, L. Drechsler. Oxford University Press (2020).<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref5\" name=\"_ftn5\">[5]<\/a> <a href=\"https:\/\/www.gesetze-bayern.de\/Content\/Document\/Y-300-Z-BECKRS-B-2019-N-18611\" target=\"_blank\" rel=\"noopener\">Caso 7 U 4012\/17 del 31.07.2019<\/a>\u00a0\u00a0\u00a0<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref6\" name=\"_ftn6\">[6]<\/a> Ai sensi dell\u2019art. 4 punto 2) GDPR la trasmissione \u00e8 una forma di comunicazione dei dati che a sua volta, a mente dell\u2019art. 14 par. 3 lett. c) GDPR, \u00e8 un\u2019attivit\u00e0 che coinvolge due o pi\u00f9 titolari (mentre a responsabili ed autorizzati non vengono comunicati\/trasmessi i dati, bens\u00ec questi effettuano un trattamento dati per conto del titolare, mentre il soggetto che si presenta all\u2019esterno \u00e8, di fatto, unico).<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref7\" name=\"_ftn7\">[7]<\/a> \u00a7. 84 HGB \u201cHandelsvertreter ist, wer als selbst\u00e4ndiger Gewerbetreibender st\u00e4ndig damit betraut ist, f\u00fcr einen anderen Unternehmer (Unternehmer) Gesch\u00e4fte zu vermitteln oder in dessen Namen abzuschlie\u00dfen. Selbst\u00e4ndig ist, wer im wesentlichen frei seine T\u00e4tigkeit gestalten und seine Arbeitszeit bestimmen kann\u201d.<\/p>\r\n\r\n\r\n\r\n<p><a href=\"#_ftnref8\" name=\"_ftn8\">[8]<\/a> <a href=\"https:\/\/www.lda.bayern.de\/media\/veroeffentlichungen\/FAQ_Abgrenzung_Auftragsverarbeitung.pdf\" target=\"_blank\" rel=\"noopener\">Auslegungshilfe | Bayerisches Landesamt f\u00fcr Datenschutzaufsicht.<\/a><\/p>\r\n","protected":false},"excerpt":{"rendered":"<p>La figura dell\u2019agente non \u00e8 per nulla facile da incasellare ed ha causato non pochi grattacapi ad aziende e all\u2019Autorit\u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7410,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31,348],"tags":[30,346,347,349,350],"class_list":["post-7409","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-contratto-di-agenzia-2","category-privacy","tag-contratto-di-agenzia","tag-gdpr","tag-privacy","tag-responsabile-del-trattamento","tag-titolare-del-trattamento"],"_links":{"self":[{"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/posts\/7409","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/comments?post=7409"}],"version-history":[{"count":1,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/posts\/7409\/revisions"}],"predecessor-version":[{"id":7972,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/posts\/7409\/revisions\/7972"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/media\/7410"}],"wp:attachment":[{"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/media?parent=7409"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/categories?post=7409"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/francescogozzo.com\/eng\/wp-json\/wp\/v2\/tags?post=7409"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}