Nel panorama della pubblica amministrazione italiana, le società in house rappresentano una realtà consolidata e in continua crescita. Dalla gestione delle farmacie comunali ai servizi di sosta, dai rifiuti ai trasporti locali, queste entità giuridiche si trovano sempre più spesso a operare con ampi margini di autonomia decisionale. Ma cosa accade quando questa autonomia si estende al trattamento dei dati personali? La risposta a questa domanda ha implicazioni pratiche e legali di notevole portata.
Il quesito che si pone con crescente frequenza è: una società in house che gestisce servizi pubblici con totale autonomia deve essere qualificata come responsabile esterno del trattamento ai sensi del GDPR, oppure come titolare autonomo?
La questione non è meramente teorica. Una corretta qualificazione determina l'intero framework di compliance privacy, le responsabilità legali, i rapporti contrattuali e gli obblighi di accountability che gravano sui soggetti coinvolti.
Il Framework Normativo: Oltre le Apparenze Formali
I Concetti Fondamentali del GDPR
Il Regolamento (UE) 2016/679 stabilisce una distinzione netta tra i ruoli principali nel trattamento dei dati. Il Titolare del trattamento è definito come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (Art. 4, n. 7). Il Responsabile del trattamento, invece, è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento" (Art. 4, n. 8).
L'Approccio Funzionale dell'EDPB
Le Linee Guida 07/2020 del Comitato Europeo per la Protezione dei Dati (EDPB) hanno rivoluzionato l'approccio alla qualificazione dei soggetti, introducendo il concetto di valutazione funzionale. Come chiarisce l'EDPB: "lo status giuridico di un soggetto in quanto «titolare del trattamento» o «responsabile del trattamento» deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale".
Questo principio è fondamentale: non conta ciò che dice il contratto o la denominazione formale, ma chi effettivamente decide il "perché" e il "come" del trattamento dei dati.
Un recente Provvedimento del Garante Privacy italiano (22 giugno 2023, [9919244]) ha ulteriormente chiarito che "il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e ai mezzi del trattamento dei dati personali degli interessati nonché la responsabilità generale (cd. 'accountability') sui trattamenti posti in essere".
La Giurisprudenza: Personalità Giuridica e Autonomia Operativa
I Principi della Cassazione
La giurisprudenza italiana ha fornito importanti chiarimenti sulla natura giuridica delle società in house. La Corte di Cassazione a Sezioni Unite ha stabilito che "l'autonoma personalità giuridica della società porta ad escludere l'esistenza di un rapporto di servizio tra dipendente e P.A., e, dall'altro lato, il danno cagionato dall'illecito incide in via diretta solo sul patrimonio della società, che resta privato e separato da quello dei soci" (Cass. Civ., Sez. U, N. 16741 del 21-06-2019).
Particolarmente significativa è una recente pronuncia specifica sulle farmacie comunali: la Cassazione ha affermato che il datore di lavoro (società in house) è un soggetto di diritto privato e il rapporto di lavoro non può essere qualificato come impiego pubblico (Cass. Civ., Sez. L, N. 25600 del 01-09-2023).
Implicazioni per il Diritto Privacy
Questi principi, pur relativi ad altri ambiti (responsabilità erariale, diritto del lavoro), confermano un punto fondamentale: la società in house è un soggetto giuridico distinto dall'ente controllante. Se a questa distinzione giuridica si aggiunge un'effettiva autonomia operativa nel trattamento dei dati, la qualifica di Titolare autonomo diventa inevitabile.
Scenari Alternativi: La Contitolarità del Trattamento
Quando due Soggetti Decidono Insieme
L'analisi non sarebbe completa senza considerare l'ipotesi della contitolarità ai sensi dell'art. 26 GDPR. Questa si verifica quando due o più soggetti determinano congiuntamente le finalità e i mezzi del trattamento.
Nel contesto delle società in house, la contitolarità potrebbe configurarsi se:
- L'ente locale definisce finalità strategiche di interesse pubblico
- La società in house definisce mezzi e finalità operative per implementare tali direttive
- Entrambi partecipano attivamente alle decisioni essenziali
La Giurisprudenza Europea: Il Caso IAB Europe
La Corte di Giustizia UE, nella recente sentenza IAB Europe (Causa C-604/22, 7 marzo 2024), ha chiarito che si può essere contitolari anche senza avere accesso diretto ai dati, purché si eserciti un'influenza sulla determinazione delle finalità e delle modalità del trattamento.
Tuttavia, se l'autonomia della società è davvero "totale" e il ruolo dell'ente si limita al controllo societario senza entrare nel merito delle decisioni sui dati, l'ipotesi della contitolarità viene meno.
Implicazioni Pratiche e Compliance
Conseguenze della Qualifica di Titolare Autonomo
La qualificazione come Titolare autonomo comporta:
- Piena responsabilità GDPR: La società deve implementare tutti gli obblighi di accountability, dalle DPIA alla designazione del DPO
- Nessun contratto ex art. 28: Non è necessario (anzi, sarebbe inappropriato) un contratto di responsabilizzazione con l'ente locale
- Gestione autonoma dei diritti degli interessati: La società risponde direttamente alle richieste dei data subjects
- Liability indipendente: In caso di violazioni, la società risponde autonomamente, senza coinvolgimento diretto dell'ente (salvo specifiche corresponsabilità)
Best Practices per le Società In House
Per le società che si trovano in questa situazione, è fondamentale:
- Documentare l'autonomia decisionale attraverso procedure interne chiare
- Implementare un sistema di governance privacy adeguato al ruolo di Titolare
- Formare il personale sui nuovi obblighi e responsabilità
- Rivedere i contratti con l'ente locale per evitare ambiguità sulla qualificazione
- Coordinare con il DPO dell'ente per gestire eventuali aree di sovrapposizione
Conclusioni: Autonomia come Chiave di Volta
L'analisi condotta dimostra che la natura in house di una società non determina automaticamente la sua qualifica privacy. Il concetto di società in house appartiene al diritto amministrativo e degli appalti, ma non prevale sulla valutazione funzionale richiesta dal GDPR.
La chiave di volta è l'autonomia decisionale: se una società in house determina effettivamente e sostanzialmente le finalità e i mezzi del trattamento dei dati, essa deve essere qualificata come Titolare autonomo, con tutte le conseguenti responsabilità.
Questa conclusione è supportata da:
- I principi funzionali stabiliti dalle Linee Guida EDPB
- La giurisprudenza sulla personalità giuridica delle società partecipate
- I recenti orientamenti del Garante Privacy italiano
- La logica stessa del sistema di accountability del GDPR
Cristiano Pivato
Torna ad Articoli e News