Prendendo in esame il tema delle qualifiche soggettive nell’ambito della normativa in materia di protezione dei dati personali, questa è chiara nell’individuare espressamente le figure coinvolte a vario titolo nei processi di trattamento dei dati personali[1].
Senza procedere, in questa sede, a una disamina specifica di ciascun elemento soggettivo, per comprendere il significato da attribuire alla “contitolarità del trattamento” appare tuttavia utile compiere un preliminare passaggio al fine di mettere a fuoco, come punto di partenza, il ruolo del titolare del trattamento.
Per “titolare del trattamento” si intende il soggetto che “decide in merito a determinati elementi chiave del trattamento stesso, [stabilendo] finalità e mezzi del trattamento, ossia il motivo e le modalità del trattamento”[2]. Come stabilito dal punto 7 del primo comma dell’articolo 4 GDPR, può essere una “persona fisica o giuridica, [un’]autorità pubblica, [un] servizio o altro organismo” ed è sua la prerogativa di determinare finalità e mezzi del trattamento, nonché l’adozione di adeguate misure di sicurezza tecniche e organizzative, al fine di garantire ed essere in grado di dimostrare la compliance normativa. In questa prospettiva, il titolare è il soggetto tenuto alla concreta attuazione del principio di accountability (c.d. rendicontazione) di cui all’articolo 24 GDPR[3].
Appare chiaro, dunque, come uno tra i principali elementi costitutivi che connotano la figura del titolare sia rinvenibile nell’esercizio del potere decisionale che egli esercita. Che la titolarità sia definita a norma di legge o discenda da un’analisi degli elementi di fatto o delle circostanze del caso, per la corretta individuazione del titolare occorre individuare chi determina finalità, mezzi e misure di sicurezza del trattamento[4].
Alla luce di questa premessa è più facile inquadrare il concetto di “contitolarità del trattamento”, che si ha nel caso in cui vi sia la partecipazione congiunta di due o più titolari nella definizione delle finalità e dei mezzi del trattamento. L’articolo 26 GDPR, infatti, riflettendo la definizione offerta dallo stesso regolamento europeo per la figura del titolare (art. 4, comma 1, punto 7), stabilisce che “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”.
Il ruolo del Responsabile esterno del trattamento dei dati
Diverso dai concetti relativi alle figure del titolare e dei contitolari è quello del “responsabile”, figura che entra in gioco nel caso in cui vi sia un’esternalizzazione nei suoi confronti di attività che abbiano a oggetto un trattamento dei dati personali. Per qualificare tale figura sono indispensabili due condizioni: essere un soggetto distinto dal titolare (o dai contitolari, nel caso in cui si rientri in tale fattispecie) e trattare i dati personali per conto del titolare del trattamento, come emerge dalla lettura dell’articolo 28 GDPR, nonché delle richiamate Linee guida sulle figure del titolare e del responsabile[5].
Al responsabile, nell’ambito delle attività di trattamento svolte per conto del titolare, non è consentito trattare i dati in modo diverso da quanto indicato nelle istruzioni a lui impartite da quest’ultimo: viene dunque a mancare quel potere decisionale su finalità e mezzi del trattamento esercitato dal titolare (in via esclusiva) o dai contitolari (in forma congiunta).
Contitolarità del trattamento dei dati: le caratteristiche
Come detto, la contitolarità è connotata dalla condivisione, tra due o più autonomi titolari, della definizione di finalità e mezzi del trattamento.
Ai fini della sua qualifica, la condizione della contitolarità deve essere valutata alla stregua di un’analisi sostanziale e fattuale, che non risulti perciò meramente formale. Ciò significa che deve riflettere le concrete circostanze relative al rapporto tra le parti, con esclusione dei casi in cui, seppur formalmente attribuito, il ruolo di contitolare non sia poi comprovato dalla reale capacità di una o più parti di determinare finalità e mezzi del trattamento.
Pertanto, per la sussistenza della contitolarità del trattamento occorre “la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e dei mezzi dello stesso. Più specificamente, la partecipazione congiunta deve comprendere, da un lato, la determinazione delle finalità e, dall’altro, la determinazione dei mezzi”[6]. Solo se ciascuno di questi elementi viene determinato con influenza determinante da tutti i soggetti coinvolti, questi ultimi possono essere considerati contitolari del trattamento in questione.
Un esempio pratico
Prendendo a prestito uno tra i vari esempi proposti dalle citate Linee guida[7], ipotizziamo il caso di due aziende che abbiano lanciato sul mercato un prodotto con un marchio comune e intendano svolgere attività promozionale. A tal fine, decidendo di organizzare un evento per promuovere il prodotto, concordano di avviare un’attività di raccolta e utilizzo di dati personali per l’invito all’evento, definendo congiuntamente le modalità di conservazione dei dati, le modalità di invio degli inviti, quelle di raccolta dei riscontri e i follow-up delle operazioni di marketing. In questo caso, le aziende possono definirsi contitolari dei trattamenti relativi all’organizzazione dell’evento in quanto vi è un’azione congiunta circa la determinazione di finalità e mezzi essenziali del trattamento.
Al contrario, la circostanza per cui due o più titolari siano coinvolti nel medesimo trattamento non necessariamente conduce a un’ipotesi di contitolarità. Se nell’esempio sopra riportato soltanto una delle due società avesse stabilito come trattare i dati relativamente all’invio degli inviti all’evento, non ci sarebbe stata una determinazione congiunta rispetto a tale attività, la cui titolarità sarebbe rimasta in capo alla società che tra le due aveva stabilito finalità e mezzi di quello specifico trattamento.
L’articolo 26 GDPR, nel quale viene stabilito un quadro per disciplinarne le relazioni tra contitolari del trattamento, stabilisce la necessità di prevedere un accordo interno tra le parti – pur senza specificarne la forma giuridica – al fine di predeterminare una chiara ripartizione degli obblighi e delle responsabilità di ciascuno, su cui ci soffermeremo in seguito.
Differenze tra contitolari del trattamento e responsabile esterno
Alla luce di quanto visto, non è difficile cogliere ciò che differenzia contitolari da responsabili: la possibilità o meno di determinare le finalità e i mezzi del trattamento.
Nel primo caso, dovendo seguire la scia definitoria adottata per identificare la figura del “titolare del trattamento”, l’esercizio del potere decisionale – ancorché congiunto in questo caso – appare fondamentale per la qualificazione dei contitolari, essendo essi chiamati a stabilire congiuntamente le caratteristiche fondamentali del trattamento.
Nel secondo, all’opposto, sarà assente, in quanto il responsabile dovrà piuttosto trattare i dati attenendosi alle istruzioni documentate da parte del titolare o dei contitolari[8].
Come fare l’accordo di contitolarità del trattamento
Sotto il profilo dell’accordo richiesto ai sensi dell’articolo 26 GDPR, come anticipato, il rapporto tra i vari contitolari deve essere regolamentato in un atto che rifletta adeguatamente i rispettivi ruoli e i rapporti di ciascuno con gli interessati.
In particolare, le Linee guida prevedono[9] la necessità che siano concordate in modo trasparente le rispettive responsabilità per quanto concerne l’adempimento agli obblighi del GDPR e, principalmente: gli obblighi di informazione di cui agli articoli 12 e seguenti; l’esercizio dei diritti degli interessati; il rispetto dei principi generali; la definizione di corrette basi giuridiche del trattamento; le misure di sicurezza; gli obblighi in merito a eventuali ipotesi di data breach; lo svolgimento di valutazione d’impatto; la formalizzazione degli atti di nomina; gli eventuali trasferimenti dei dati personali verso paesi terzi, nonché la definizione dei punti di contatto con gli interessati e con l’autorità di controllo.
Oltre a questi elementi, senza dubbio fondamentali, sintetizzabili nella definizione del “chi fa cosa”, appare altresì opportuno non tanto che la ripartizione dei compiti avvenga tramite un’equa distribuzione[10], quanto piuttosto che l’accordo stabilisca con chiarezza la strategia e gli obiettivi condivisi alla base della contitolarità che – attraverso l’accordo medesimo – si va a suggellare[11]. Il fondamentale elemento della condivisione e compartecipazione nelle scelte deve emergere con chiarezza, così come il perimetro delle rispettive responsabilità qualora una delle parti violasse l’accordo.
Sotto il profilo della sua forma, nel silenzio dell’articolo 26 GDPR, le Linee guida raccomandano l’adozione di un accordo che “sia stipulato sotto forma di documento vincolante, ossia di contratto o di atto giuridico vincolante di altra natura, ai sensi del diritto dell’UE o dello Stato membro cui sono soggetti i [singoli] titolari del trattamento”[12].
Gestione delle richieste degli interessati
L’accordo, come stabilito dal primo comma dell’articolo 26 GDPR, può prevedere l’istituzione di un punto di contatto tra i contitolari al quale gli interessati possono far riferimento per tutte le questioni relative ai trattamenti dei dati che li riguardano. Ciò soprattutto al fine di agevolare le richieste di esercizio diritti da parte degli interessati.
Da notare, tuttavia, come a questi ultimi sia concessa la facoltà – prevista al comma 3 del medesimo articolo – di avanzare le richieste di esercizio dei diritti ai sensi del GDPR “nei confronti di e contro ciascun titolare del trattamento”. Questo significa che anche laddove l’accordo abbia messo a disposizione un determinato canale per la gestione di tali richieste, gli interessati potranno operare scelte diverse avanzando la richiesta a ciascun contitolare. Appare dunque fondamentale che i contitolari siano anticipatamente preparati per far fronte a tale eventualità (soprattutto in considerazione delle tempistiche stabilite ex articolo 12 GDPR entro cui fornire riscontro alle richieste di esercizio diritti).
Violazioni dei dati nella contitolarità del trattamento
Anche le ipotesi di violazioni di dati personali (c.d. data breach) andranno parimenti gestite in un’ottica di collaborazione e condivisione, prevedendo ex ante una precisa ripartizione dei compiti con l’obiettivo di rispondere celermente ai casi di violazione, tentati o perpetrati, a danno della riservatezza e integrità dei dati personali.
L’inserimento nell’accordo di una precisa suddivisione delle attività tra le parti rappresenta pertanto elemento fondamentale, sia per contenere le violazioni sul piano sostanziale (attivando le necessarie contromisure al verificarsi di ipotesi di data breach) che su quello formale (al fine di ottemperare nelle ipotesi e nei tempi di cui all’articolo 33 GDPR all’eventuale notifica all’Autorità Garante privacy).
Responsabilità solidale e congiunta dei contitolari del trattamento
Come visto, gli interessati possono esercitare i propri diritti facendone richiesta a ciascun contitolare. Questa possibilità è da riferire tanto rispetto ai diritti di cui agli articoli da 12 a 22 GDPR, quanto al diritto al risarcimento del danno di cui all’articolo 82 GDPR.
In particolare, a norma del quarto comma dell’articolo 82, viene stabilita la responsabilità solidale di tutti i titolari per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Il successivo comma 5 stabilisce come, “qualora un titolare […] abbia pagato […] l’intero risarcimento del danno, tale titolare […] ha il diritto di reclamare dagli altri titolari del trattamento […] coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno”.
L’Autorità di controllo nella contitolarità del trattamento dei dati
Con riferimento al rapporto tra contitolarità e Autorità Garante privacy e, nello specifico, alle eventuali comunicazioni a quest’ultima indirizzate (es. notifiche di data breach, richiesta di consultazione preventiva ex art. 36 GDPR, etc.), le Linee guida suggeriscono[13] di individuare nell’accordo di contitolarità le modalità di comunicazione o un punto di contatto con l’Autorità Garante.
Tuttavia, sottolineano altresì[14] come – similmente a quanto visto in merito alle richieste di esercizio diritti da parte degli interessati – l’Autorità Garante potrà comunque contattare indistintamente qualsiasi contitolare al fine di esercitare i propri poteri, a prescindere dal punto di contatto fissato dalle parti.
____
Note
[1] Cfr. art. 4 Regolamento (UE) 2016/679 (GDPR), nonché art. 2-quaterdecies Codice privacy (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018).
[2] Cfr. con la definizione offerta nella “sintesi” delle Linee guida 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR rilasciate dall’European Data Protection Board (EDPB).
[3] Cfr. parte I, par. 2.1.4, punto 41, delle Linee guida.
[4] Cfr. parte I, par. 2.1.2, punto 20, delle Linee guida.
[5] Cfr. parte I, par. 4, punto 76, delle Linee guida.
[6] Cfr. parte I, par. 3.2.1, punto 53, delle Linee guida sopra richiamate.
[7] Terzo esempio della parte I, par. 3.2.2.1, numero 68, delle Linee guida.
[8] Cfr. art. 28, comma 3, lett. a), GDPR.
[9] Cfr. “Rapporto tra contitolari del trattamento” all’interno della parte “sintesi” e parte II, par. 2.1, numero 168 delle Linee guida sopra richiamate.
[10] Cfr. parte II, numero 169, delle Linee guida.
[11] Cfr. parte II, numero 175, delle Linee guida.
[12] Ibidem.
[13] Cfr. parte II, par. 2.3, numero 190.
[14] Cfr. parte II, par.2.3, numero 191.