Il GDPR si basa su di un assioma: la necessità del controllo effettivo del titolare sui dati personali di propria competenza. Conseguentemente l’obbligo del titolare e la corrispondente aspirazione del predetto soggetto al controllo dei dati personali necessita di disegno, organizzazione, verifica costante e pertanto comporta la necessità di quest’ultimo di governare in corsa i rivoli del trattamento, disperso tra processor, sub processor, nonché in coordinamento con contitolari e autonomi titolari.
Un puzzle complesso, che il comitato europeo per la protezione dati ha provato a ricomporre.
Ricognizione degli specifici ruoli privacy
L’EDPB nelle linee guida n. 7 del 2020 ribadisce che il titolare è un organo che decide alcuni elementi chiave del trattamento. La responsabilità del controllo può essere definita dalla legge o può derivare da un’analisi degli elementi fattuali o delle circostanze del caso. Alcune attività di trattamento possono essere viste come naturalmente collegate al ruolo di un’entità (un datore di lavoro per i dipendenti, un editore per gli abbonati o un’associazione per i suoi membri). In molti altri casi le linee guida ricordano che una valutazione dei termini contrattuali tra le diverse parti coinvolte può facilitare la determinazione di quale parte (o parti) agisce in qualità di titolare del trattamento.
Un aspetto che merita di essere approfondito a beneficio degli operatori, poiché tale facilitazione dovrebbe essere quanto più frequentemente ricordata con una ricognizione degli specifici ruoli privacy e delle correlate responsabilità che dovrebbero essere riportate con chiarezza nei documenti contrattuali.
Difatti ribadisce il Board se non c’è motivo di dubitare che il contratto rifletta accuratamente la realtà, non c’è nulla contro il rispetto dei termini del contratto. E se trema la penna nel riconoscere pienamente le proprie responsabilità, va ricordato che per quanto la titolarità comporti obblighi importanti, comporta anche valore e quel valore nel business non è risibile.
Responsabilità e contratti: quel che c’è da sapere
Tuttavia, i termini di un contratto non sono decisivi in tutte le circostanze, poiché ciò consentirebbe semplicemente alle parti di allocare la responsabilità come ritengono opportuno. Non è possibile né diventare un titolare del trattamento né sottrarsi agli obblighi del titolare semplicemente plasmando il contratto in un certo modo dove le circostanze di fatto dicono qualcos’altro.
Va inoltre rappresentato che le linee guida dell’EPDP n. 7 del 2020, sulla traccia del parere n. 1 del 2010 del WP 29, sono tornate ad affrontare la figura del titolare autonomo, ovvero quella figura che si distingue in un rapporto bilaterale o plurilaterale, dove ciascuna Parte, in funzione del proprio oggetto sociale, fornisce all’interessato una prestazione specifica o un ben identificato servizio che, assieme, rappresentano per il medesimo interessato un unico beneficio. In tale ipotesi qualora il completamento del processo richieda la comunicazione dei dati personali dell’interessato tra i titolari autonomi, la base giuridica legittimante sarà quella afferente il titolo della comunicazione dei dati tra i diversi soggetti al fine di rendere un servizio a favore dell’interessato.
Difatti come tra l’altro autorevolmente rappresentato in dottrina dall’avv. E. Pelino, poche tematiche risultano nella pratica tanto complesse come l’individuazione della linea sottile che, talvolta, corre tra titolarità autonoma e contitolarità. Le linee guida per spiegare le finalità convergenti ma distinte tra autonomi titolari, portano alcuni esempi, tra i quali quello della comunicazione dei dati personali dei dipendenti di un datore di lavoro da parte dell’amministrazione del personale verso la banca al fine dei pagamenti salariali.
La banca difatti riceverà le informazioni ed effettuerà i bonifici nell’ambito di una propria attività specifica. Il datore di lavoro non potrà avere alcuna influenza sullo scopo e sui mezzi del trattamento dei dati da parte della banca. La banca deve quindi essere considerata un titolare del trattamento per questo trattamento e la trasmissione di dati personali dall’amministrazione del libro paga deve essere considerata come una divulgazione di informazioni tra due titolari distinti.
Rapporti plurilaterali: trasporto aereo
Mentre ad avviso della scrivente un esempio di autonoma titolarità sviluppata nell’ambito di un rapporto plurilaterale la possiamo ritrovare nell’ambito del trasporto aereo negli accordi interlinea con codice condiviso, dove un volo operato da una compagnia aerea viene commercializzato congiuntamente come volo di una o più compagnie aeree diverse. Le partnership per voli interlinea consentono a due o più compagnie aeree di emettere biglietti per conto anche delle altre compagnie aeree, mantenendo però il codice di designazione dell’altra compagnia aerea, invero nessuna delle compagnie aeree coinvolte dall’accordo ha potere di influire sullo scopo e sui mezzi del trattamento dei dati da parte degli altri vettori.
Affrontando un altro aspetto in merito alla titolarità, le Linee guida ricordano la titolarità acquisita ai sensi dell’art. 28 par. 10, ovvero ad avviso della scrivente “una sorta di titolarità per punizione”, quando un responsabile del trattamento elabora i dati al di fuori delle istruzioni del responsabile del trattamento. In tale caso il Comitato ricorda che ciò equivale a una decisione che determina le finalità e i mezzi del trattamento e pertanto il responsabile del trattamento violerà i suoi obblighi e “sarà persino considerato un titolare del trattamento”. Ciò va inteso ovviamente al fine sanzionatorio e risarcitorio.
I contitolari del trattamento
La qualifica di contitolari del trattamento può sorgere quando più di un attore è coinvolto nel trattamento. Il GDPR introduce regole specifiche per i contitolari del trattamento e definisce un quadro per governare il loro rapporto. Il criterio generale per l’esistenza della contitolarità del trattamento è la partecipazione congiunta di due o più entità nella determinazione delle finalità e dei mezzi di un’operazione di trattamento.
La partecipazione congiunta può assumere la forma di una decisione comune presa da due o più entità o derivare dalla convergenza di decisioni di due o più entità, laddove le decisioni si completano a vicenda e sono necessarie affinché il trattamento avvenga in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. Un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento dal lato di ciascuna parte è inscindibile, vale a dire inestricabilmente legato. La partecipazione congiunta deve includere la determinazione delle finalità da un lato e la determinazione dei mezzi dall’altro.
Le linee guida si soffermano su diversi esempi, tra i quali uno in merito alle attività svolte da istituti di ricerca, ove alcuni di questi istituti decida di partecipare ad uno specifico progetto di ricerca comune e di utilizzare a tal fine la piattaforma esistente di uno degli istituti coinvolti nel progetto. In tale caso però ciascuno degli istituti, rimane un titolare del trattamento separato per qualsiasi altro trattamento che può essere effettuato al di fuori della piattaforma per i rispettivi scopi.
Un altro esempio illustra l’ipotesi di operazioni di marketing. L’ipotesi presa in considerazione è quella in cui venga lanciato un prodotto in co-branding tra più aziende e si decida di organizzare un evento per promuovere questo prodotto, decidendo tra l’altro di condividere i dati dei rispettivi database dei clienti potenziali ed effettivi per poterli invitare e per raccogliere da loro feedback durante l’evento ed effettuare ulteriori azioni di marketing. In tale caso ciascuno dei Titolari dovrebbe, inoltre, considerare il proprio ruolo – e le conseguenti responsabilità – in ragione delle diversi fasi in cui opera nell’ambito di ciascun trattamento.
Contitolari del trattamento, entra in gioco il DPO
Sempre in tema di contitolarità merita di essere posto l’accento sulla circostanza che le Linee guida nel ricordare che l’articolo 26, paragrafo 1, prevede la possibilità per i contitolari del trattamento di designare nell’accordo un punto di contatto per gli interessati, pur rappresentando che tale designazione non è obbligatoria, al fine di facilitare l’esercizio dei diritti degli interessati ai sensi del GDPR, raccomandano ai contitolari del trattamento di designare un punto di contatto. Tale punto di contatto potrebbe essere l’eventuale DPO, il rappresentante nell’Unione (per i contitolari del trattamento non stabiliti nell’Unione) o qualsiasi altro punto di contatto in cui è possibile ottenere informazioni.
Il responsabile del trattamento
In merito al Responsabile del trattamento – ovvero quel soggetto che tratta dati personali per conto del titolare del trattamento – l’art. 29 del Regolamento richiede che l’accountability del titolare debba manifestarsi sia nella individuazione del Responsabile, sia nella formalizzazione dei ruoli. Quanto alla scelta, il titolare è tenuto a valutare soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, contemporaneamente le linee guida ribadiscono che il responsabile del trattamento non deve trattare i dati personali se non su istruzione documentata del titolare del trattamento, almeno in relazione alle finalità e agli aspetti essenziali delle modalità di esecuzione dei compiti demandati.
Le Linee Guida evidenziano che il trattamento di dati personali può coinvolgere diversi responsabili e sub responsabili anche nell’ambito di fasi di un unico trattamento. Quanto sopra ad avviso della scrivente non può che richiedere particolari cautele nell’ambito della redazione di contratti, con particolare riguardo alla previsione condizionata del sub appalto posta la necessità di avere antecedentemente valutato l’affidabilità e l’allocazione delle attività poste in essere dalla società sub appaltata. Difatti non porsi il quesito del dove venga effettuato il trattamento, nella Unione Europea o extra UE, in paesi dichiarati adeguati o non adeguati, non può che essere una valutazione importante in relazione alla delicatezza del servizio richiesto con particolare riguardo al trattamento dei dati personali.
Mancata formalizzazione del ruolo di responsabile
Infine, in merito alla figura del Responsabile, va rilevato tra l’altro che anche la mancata formalizzazione del ruolo, che prima facie potrebbe apparire una scappatoia per il fornitore di servizi, comporta dei rischi. Tali rischi vengono a maturarsi oltre che per il titolare anche per il responsabile stesso, come ha dimostrato la recente sanzione del Garante per la protezione dei dati personali.
Il predetto provvedimento sanzionatorio è stato emesso dal Garante privacy in merito al trattamento dei dati personali di aspiranti infermieri in un concorso pubblico; in quel caso è stato sanzionata sia l’azienda ospedaliera, sia la società fornitrice del servizio tecnologico che gestiva la piattaforma per la raccolta online delle domande dei partecipanti, per complessivi 140 mila euro con il Provvedimento del 17 settembre 2020 e fra le diverse violazioni, ad essere censurata alla società di servizi informatici è stata la sua mancata designazione a responsabile del trattamento e la conseguente illiceità del trattamento effettuato (Registro dei provvedimenti n. 161 del 17 settembre 2020). È quindi sempre più evidente, che l’identificazione dei ruoli privacy all’interno della filiera del trattamento non deve essere materia di esclusivo interesse del titolare.
I concetti di destinatario e terzo
Le linee guida ricordano tra l’altro che il Regolamento non solo definisce i concetti di titolare e responsabile del trattamento, ma anche i concetti di destinatario e terzo. Contrariamente ai concetti di titolare e responsabile del trattamento, il regolamento non prevede obblighi o responsabilità specifici per destinatari e terzi. Questi possono essere definiti concetti relativi nel senso che descrivono una relazione con un titolare del trattamento o un responsabile da una prospettiva specifica, ad es. un titolare del trattamento o un responsabile del trattamento divulga i dati a un destinatario. Un destinatario di dati personali e una terza parte possono essere considerati contemporaneamente come titolari del trattamento o responsabile del trattamento da altre prospettive. Ad esempio, entità che devono essere considerate destinatari o terze parti da una prospettiva, sono titolari del trattamento per il quale determinano lo scopo e i mezzi.
Quanto sopra esposto ha voluto fornire così qualche spunto di analisi e riflessione su di un tema, quello della allocazione dei ruoli privacy, che non potrà mai avere la pretesa di ritenersi pienamente analizzato poiché seguirà le riflessioni tipiche della evoluzione dei modelli contrattuali e societari permessi dal principio generale della libertà delle forme, in virtù del quale le parti di un contratto possono decidere liberamente il modo attraverso il quale esteriorizzare la loro volontà.
