In data 7 luglio 2020 il Comitato Europeo per la protezione dei dati (di seguito anche European Data Protection Board, o EDPB) ha adottato la versione definitiva delle Linee Guida n. 7/2020, sui concetti di titolare e responsabile (controller and processor), precedentemente sottoposte a consultazione pubblica fino al 19 ottobre 2020.
Linee guida Edpb su titolare e responsabile (controller and processor)
Il documento mira a fornire una definizione uniforme dei tanto discussi concetti di titolare del trattamento, responsabile del trattamento e contitolare, e rappresenta una guida indispensabile al fine dell’individuazione dei ruoli e delle connesse responsabilità.
Come di consueto le indicazioni sono accompagnate e arricchite da esempi pratici. In calce al documento, anche un diagramma di flusso che accompagna l’interprete nella complessa operazione di definizione dei ruoli.
GDPR, nuove linee guida EDPB su titolare, contitolari e responsabile: ecco chi sono e cosa fanno
Titolare del trattamento nelle linee guida EDPB
In primo luogo, è trattata la nozione di titolare del trattamento, che, ai sensi dell’art 4 del GDPR, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il titolare, quindi, è colui che decide le finalità e i mezzi del trattamento (ovvero, il perché e il come del trattamento).
L’EDPB ribadisce che il concetto è funzionale più che formale, e che quindi deve essere interpretato sulla base di una analisi fattuale dell’influenza effettiva esercitata dal soggetto sul trattamento dei dati. Il punto è enfatizzato dalla nuova versione delle line guida, ove al punto 12 è ribadito che l’allocazione dei ruoli non è negoziabile tra le parti.
In determinati casi, il controllo del Titolare sul trattamento può essere desunto da una competenza legale, ad esempio quando il titolare o gli specifici criteri per la sua nomina siano stabiliti dalla legislazione dell’Unione Europea o di uno Stato membro. Rispetto alla versione precedente delle linee guida, l’EDPB aggiunge una precisazione: anche se l’art. 4 GDPR si riferisce solo “al titolare”, usando il singolare, il Comitato considera possibile che la legge dell’Unione Europea o dello Stato membro designi anche più di un titolare, anche come contitolari.
Nel documento sono analizzati gli elementi fondamentali della nozione di titolare del trattamento. Con riferimento all’elemento soggettivo, è confermato che, anche nel caso in cui l’entità decida di designare una persona specifica al fine di garantire la compliance con la normativa privacy, questo soggetto non sarà il titolare del trattamento ed agirà invece per conto dell’entità (che avrà la qualifica di titolare del trattamento). Nella nuova versione delle linee guida l’EDPB aggiunge che deve essere considerata allo stesso modo anche l’ipotesi in cui un particolare dipartimento o unità organizzativa abbia la responsabilità operativa di assicurare la conformità per certe attività di trattamento: ciò non significa che il dipartimento o unità (piuttosto che l’organizzazione nel suo insieme) agisca quale titolare del trattamento. Sul punto è previsto uno specifico esempio: il dipartimento di marketing dell’azienda ABC lancia una campagna pubblicitaria per promuovere i prodotti ABC. In tal caso il dipartimento di marketing decide la natura della campagna, i mezzi da utilizzare (e-mail, social media …), a quali clienti rivolgersi e quali dati utilizzare. Anche se il dipartimento di marketing ha agisce in modo autonomo, la società ABC sarà in linea di principio considerata come Titolare del trattamento visto che la campagna pubblicitaria è lanciata dalla società e si svolge nell’ambito delle sue attività commerciali e per i suoi scopi.
Nella versione finale delle line guida è chiarito che, in linea di principio, si può presumere che qualsiasi trattamento di dati personali da parte dei dipendenti, e che avvenga nell’ambito delle attività di un’organizzazione, rientri nel controllo di quest’ultima. In circostanze eccezionali, tuttavia, può accadere che un dipendente decida di utilizzare i dati personali per i propri scopi, eccedendo così illecitamente rispetto all’autorizzazione che gli è stata conferita. È quindi dovere dell’organizzazione come titolare del trattamento assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l’informazione dei dipendenti, per garantire il rispetto del GDPR.
Per il resto, è confermata la tendenza, già manifestata dal Comitato nelle linee guida 8/2020 sul social media targeting, ad interpretare in modo molto ampio ed estensivo la nozione di titolare del trattamento. Finalità di tale interpretazione, come indica l’EDPB stesso, è quella di favorire la protezione efficace e completa degli interessati, garantire la piena efficacia del diritto dell’UE in materia di protezione dei dati, evitare lacune e prevenire possibili elusioni delle norme, senza al tempo stesso sminuire il ruolo del responsabile del trattamento
La principale novità
La principale novità, rispetto alla versione sottoposta alla consultazione pubblica, è rappresentata dalla previsione di nuovi esempi, che si riportano di seguito:
- Fornitori di servizi di telecomunicazione: fornire un servizio di comunicazione elettronica (es. posta elettronica) comporta il trattamento di dati personali. Il fornitore di tali servizi sarà generalmente considerato un Titolare del trattamento per quanto riguarda il trattamento dei dati personali che sono necessari per il funzionamento del servizio in quanto tale (ad esempio, i dati sul traffico e sulla fatturazione). Se l’unico scopo del fornitore è quello di consentire la trasmissione di messaggi di posta elettronica, il fornitore non sarà invece considerato Titolare del trattamento per quanto riguarda i dati personali contenuti nel messaggio stesso (rispetto a tali dati sarà considerata Titolare del trattamento la persona da cui proviene il messaggio).
- Servizi cloud standard: un fornitore di spazio cloud offre ai suoi clienti la possibilità di memorizzare e conservare grandi volumi di dati personali. Il servizio è completamente standardizzato, e i clienti non hanno alcuna possibilità di personalizzare il servizio. I termini del contratto sono determinati e redatti unilateralmente dal fornitore di servizi cloud, con la logica del “prendere o lasciare”. La società X decide di fare uso del fornitore di servizi cloud per conservare i dati personali dei suoi clienti. La società X sarà comunque considerata un Titolare del trattamento, data la sua decisione di fare uso di questo particolare fornitore di servizi cloud al fine di trattare i dati personali per i suoi scopi. Nella misura in cui il fornitore di servizi cloud non tratta i dati personali per i propri scopi e memorizza i dati esclusivamente per conto dei suoi clienti e in conformità alle istruzioni, il fornitore di servizi è considerato un responsabile del trattamento.
- Call center: l’azienda X decide di esternalizzare una parte delle sue relazioni con i clienti a un call center. Il call center riceve dati identificabili sugli acquisti dei clienti, nonché informazioni di contatto. Il call center utilizza il proprio software e la propria infrastruttura informatica per gestire i dati personali dei clienti della società X. La società X firma un accordo con il fornitore del call center ai sensi dell’articolo 28 GDPR, dopo aver stabilito che le misure di sicurezza tecniche e organizzative proposte dal call center sono adeguate ai rischi in questione e che il call center tratterà i dati personali solo per le finalità della società X e in conformità alle sue istruzioni. La società X non fornisce ulteriori istruzioni al call center per quanto riguarda il software specifico da utilizzare né istruzioni dettagliate sulle misure di sicurezza specifiche da attuare. In questo esempio, la società X rimane il Titolare del trattamento, nonostante il fatto che il call center abbia determinato alcuni mezzi non essenziali del trattamento.
- Ricerche di mercato: l’azienda ABC desidera capire quali tipi di consumatori sono maggiormente interessati ai suoi prodotti. Il fornitore di servizi XYZ è un’agenzia di ricerche di mercato che ha raccolto informazioni sugli interessi dei consumatori attraverso una serie di questionari che riguardano un’ampia varietà di prodotti e servizi. Il fornitore di servizi XYZ ha raccolto e analizzato questi dati in modo autonomo, con la propria metodologia, senza ricevere alcuna istruzione dalla società ABC. Per rispondere alla richiesta della società ABC, il fornitore di servizi XYZ genera informazioni statistiche, senza ricevere ulteriori istruzioni su quali dati personali debbano essere trattati o come trattarli per generare queste statistiche. In questo esempio, il fornitore di servizi XYZ agisce come Titolare autonomo del trattamento, in quanto elabora i dati personali peri propri scopi di ricerca di mercato, e determina autonomamente i mezzi per farlo. La società ABC non ha alcun ruolo o responsabilità particolare in relazione a queste attività di trattamento, in quanto la società ABC riceve statistiche anonime e non è coinvolta nella determinazione delle finalità e dei mezzi del trattamento. Se invece la società ABC dà istruzioni a XYZ sul tipo di informazioni a cui è interessata e fornisce un elenco di domande da porre a coloro che partecipano alla ricerca di mercato, allora sarà considerata Titolare del trattamento. E ciò, anche nel caso in cui la società ABC riceva da XYZ solo informazioni statistiche (ad esempio, le tendenze di consumo per regione) e non abbia accesso ai dati personali stessi. Ciò che viene valorizzato, infatti, è che la società ABC abbia dato avvio al trattamento, decidendolo, che il trattamento sia effettuato per la sua finalità e la sua attività e che la società abbia fornito a XYZ istruzioni dettagliate su quali informazioni raccogliere.
Quest’ultimo esempio, in particolare, dimostra la tendenza all’interpretazione estensiva del concetto del titolare che, nonostante sia volta ad una migliore tutela degli interessati, nei fatti rischia, ad avviso di scrive, da un lato di imbrigliare e rallentare l’attività del cliente della campagna pubblicitaria, e dall’altro di ridurre la tutela degli interessati, posto che de-responsabilizza il provider delle ricerche di mercato, che ha di fatto il controllo dei dati, a discapito di un cliente che a quei dati nemmeno accede. Infatti, l’ipotesi più diffusa nella prassi, è quella per cui l’agenzia pubblicitaria detiene un proprio data base di utenti o “panelists” a cui sottopone questionari elaborati d’accordo con diversi clienti. Ci si domanda infatti se, in tal caso, sia necessario prevedere una duplice qualificazione dell’agenzia (titolare dei dati dei propri utenti e responsabile per le risposte alla specifica indagine di mercato sottoposta dal cliente) oppure se non sarebbe più corretta un’allocazione di ruoli in termini di contitolarità, trattandosi di decisione che effettivamente viene presa congiuntamente.
I Contitolari del trattamento
L’art. 26 GDPR dispone che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Rispetto a tale nozione, le linee guida confermano l’innovativa impostazione per cui la determinazione congiunta di finalità e mezzi del trattamento può derivare da una decisione comune presa da due o più soggetti oppure può essere il risultato di decisioni convergenti (nel caso di decisioni si completano a vicenda e di trattamenti che sono tra loro inscindibili). Ai fini della contitolarità non è inoltre necessario che entrambe le parti abbiano accesso ai dati personali: una delle due potrebbe anche non accedere ai dati ma, ove contribuisca alla definizione di mezzi e finalità, sarà comunque contitolare.
Le linee guida nella versione definitiva sottolineano che la nozione di decisioni convergenti deve essere considerata in relazione alle finalità e ai mezzi del trattamento ma non ad altri aspetti della relazione commerciale tra le parti (in effetti, tutti gli accordi commerciali implicano decisioni convergenti come parte del processo attraverso il quale si raggiunge un accordo). Inoltre, l’EDPB osserva che in determinate situazioni l’influenza di un contitolare sul trattamento di fatto potrebbe addirittura complicare il raggiungimento di un accordo. Tuttavia, tali circostanze non fanno venire meno la contitolarità e non possono essere addotte per esentare una delle due parti dai suoi obblighi ai sensi del GDPR.
Tra gli esempi di contitolarità già proposti nella versione provvisoria delle Linee guida, rileva in particolare l’ipotesi dello sponsor di studi clinici. In questo caso infatti l’EDPB sembra discostarsi dall’impostazione tradizionale, basata anche sul provvedimento del Garante del 2008 in materia di sperimentazioni cliniche, per cui i centri clinici sono generalmente qualificati quali Titolari autonomi del trattamento e gli Sperimentatori quali loro responsabili del trattamento. Le linee guida 7/2020, invece, non affrontano il tema della qualificazione del centro (che invece ad avviso di chi scrive avrebbe richiesto chiarimenti) e si concentrano sul ruolo dell’Investigator (Sperimentatore) distinguendo due diverse ipotesi: se lo sperimentatore e lo sponsor (es. università) collaborano alla stesura del protocollo dello studio (che indica lo scopo, la metodologia dello studio, i dati da raccogliere, i criteri di esclusione/inclusione dei soggetti, l’eventuale riutilizzo del database) devono essere considerati come contitolari del trattamento, in quanto determinano congiuntamente la finalità e i mezzi essenziali del trattamento, mentre nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo (e si limiti ad accettare il protocollo già elaborato dallo sponsor), lo sperimentatore dovrà essere considerato come un responsabile del trattamento (e lo sponsor come titolare del trattamento per la sperimentazione clinica). In ogni caso, il trattamento di dati personali dalla cartella clinica del paziente a scopo di ricerca deve essere distinto dall’utilizzo degli stessi dati a scopo di cura del paziente, per i quali l’operatore sanitario rimane il Titolare del Trattamento.
Si evidenzia come anche in questo caso, ad avviso di chi scrive, la qualificazione operata potrebbe nei fatti ridurre il livello di tutela del paziente: nella pratica infatti lo sponsor non ha controllo sull’investigator, che opera nel centro, e che meglio sarebbe stato configurato come processor di quest’ultimo.
Nella versione definitiva del documento, l’EDPB introduce un ulteriore esempio, relativo alla fornitura di analisi mediche, che si riporta di seguito: la società ABC, sviluppatrice di un’app per il monitoraggio della pressione sanguigna e la società XYZ, fornitrice di app per professionisti medici, desiderano esaminare come i cambiamenti della pressione sanguigna possano aiutare a prevedere alcune malattie. Le aziende decidono di istituire un progetto comune e coinvolgono l’ospedale DEF. I dati personali trattati consistono in dati personali che la società ABC, l’ospedale DEF e la società XYZ trattano separatamente come titolari autonomi. La decisione di elaborare questi dati per valutare i cambiamenti della pressione sanguigna è presa congiuntamente dai tre attori. La società ABC, l’ospedale DEF e la società XYZ hanno quindi determinato congiuntamente le finalità del trattamento. Una delle società ha anche proposto i mezzi essenziali del trattamento, che le altre entità, dopo essere stati coinvolte nello sviluppo di alcune caratteristiche dell’applicazione, hanno accettato. Le tre entità hanno quindi lo scopo comune di valutare come i cambiamenti della pressione sanguigna possono aiutare a prevedere alcune malattie. Una volta che la ricerca è completata, la società ABC, l’ospedale DEF e la società XYZ possono beneficiare della valutazione utilizzandone risultati nelle proprie attività. Per tutte queste ragioni, si qualificano come contitolari del trattamento. Nel caso in cui invece la società XYZ fosse stata semplicemente incaricata dagli altri di eseguire la valutazione, senza avere alcuno scopo proprio, e avesse semplicemente elaborato i dati per conto degli altri, la società XYZ si sarebbe qualificata come responsabile del trattamento anche se le fosse stata affidata la determinazione dei mezzi non essenziali.
Il responsabile del trattamento per EDPB
Ai sensi dell’art. 4 del DGPR il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Le linee guida esaminano due requisiti essenziali di questo ruolo (essere un soggetto distinto dal titolare del trattamento e trattare i dati personali per conto di quest’ultimo) e forniscono una serie di esempi pratici.
La versione definitiva delle linee guida conferma l’analisi già svolta in fase provvisoria circa la definizione di responsabile, ma introduce novità significative quanto alla disciplina dei rapporti tra i due soggetti.
In particolare, si segnalano i seguenti aspetti:
- In merito alla valutazione dell’idoneità del responsabile, l’EDPB ribadisce di non poter non fornire un elenco esaustivo dei documenti o delle azioni con cui il responsabile può dimostrare la propria idoneità, poiché ciò dipende in gran parte dalle circostanze specifiche del trattamento. È necessaria quindi un’analisi caso per caso.
- L’accordo tra il titolare e il responsabile deve rispettare i requisiti dell’articolo 28 del GDPR, ma vi è comunque spazio per negoziazioni tra le parti. In alcune situazioni un responsabile o un titolare del trattamento potrebbe avere un minore potere negoziale: in tali casi il ricorso alle clausole contrattuali standard adottate ai sensi dell’articolo 28 (par 7 e 8) potrebbe contribuire a riequilibrare le posizioni negoziali e a garantire che i contratti rispettino il GDPR.
- Le istruzioni sul trattamento sono generalmente fornite dal Titolare, ma il responsabile ha comunque la possibilità di suggerire elementi che, se accettati dal titolare, diventano parte integrante delle istruzioni.
- L’accordo tra il Titolare e il responsabile del trattamento può includere un’autorizzazione (e un obbligo) per il responsabile del trattamento di notificare direttamente all’autorità eventuali violazioni dei dati conformemente agli articoli 33 e 34, ma la responsabilità legale della notifica rimane in capo al titolare del trattamento. In tal caso il responsabile deve comunque informare il titolare del trattamento e fornire a quest’ultimo copia della notifica e delle comunicazioni agli interessati.
- Il GDPR specifica che le ispezioni e gli audit sono effettuati dal Titolare o da una terza parte incaricata dal titolare. L’obiettivo di tale audit è assicurare che il titolare abbia tutte le informazioni relative all’attività di trattamento eseguita per suo conto dal responsabile. Il responsabile del trattamento può suggerire la scelta di uno specifico auditor, ma la decisione finale deve essere lasciata al titolare del trattamento. Se la verifica è effettuata da un soggetto proposto dal responsabile del trattamento, il Titolare del trattamento conserva comunque il diritto di contestare la portata, la metodologia e i risultati dell’audit.
- Le parti dovrebbero cooperare in buona fede e valutare se e quando sia necessario eseguire verifiche nei locali del responsabile del trattamento, nonché quale tipo di verifica o ispezione (a distanza / in loco sarebbe appropriato nel caso specifico, tenendo anche conto dei problemi di sicurezza; la scelta finale al riguardo spetta comunque al titolare del trattamento. A seguito dei risultati dell’audit, il Titolare del trattamento dovrebbe poter chiedere al responsabile del trattamento di adottare misure ulteriori, ad esempio per porre rimedio alle carenze e alle lacune individuate.
- La questione della ripartizione dei costi tra il responsabile del trattamento e il titolare del trattamento in materia di audit non è contemplata dal GDPR ed è soggetta a considerazioni commerciali. Tuttavia, l’articolo 28, paragrafo 3, lettera h), richiede che il contratto preveda l’obbligo per il responsabile del trattamento di mettere a disposizione del titolare del trattamento tutte le informazioni necessarie e l’obbligo di consentire e contribuire agli audit, comprese le ispezioni, condotti dal Titolare del trattamento o da un altro soggetto incaricato. Ciò significa in pratica che le parti non dovrebbero inserire nel contratto clausole che prevedano il pagamento di costi chiaramente sproporzionati o eccessivi, che avrebbero un effetto dissuasivo su una delle parti. Tali clausole implicherebbero infatti che i diritti e gli obblighi di cui all’articolo 28, paragrafo 3, lettera h), non verrebbero mai esercitati nella pratica e diventerebbero puramente teorici (mentre sono parte integrante delle garanzie di protezione dei dati previste dall’articolo 28 GDPR).
- Nel caso in cui tutte e tre le parti siano d’accordo, l’accordo tra responsabile e sub-responsabile potrebbe prevedere direttamente la notifica di eventuali data breach da parte del sub responsabile al titolare. In tal caso, comunque, il responsabile dovrà essere informato e gli dovrà essere fornita una copia della notifica.