L'APPROFONDIMENTO

Delimitazione delle responsabilità tra titolare e responsabile esterno: la corretta interpretazione

La recente sanzione irrogata a TIM dal Garante privacy per attività di marketing fornisce gli elementi essenziali per la corretta individuazione del ruolo di titolare/contitolare e responsabile nel rapporto tra committente e propri partner e successiva delimitazione delle responsabilità. Analizziamoli nel dettaglio

10 Feb 2020
O
Isabella Oldani

Data Protection Lawyer - LT42

La sanzione di 27 milioni e 800 mila euro irrogata a TIM (in seguito anche “Società”) dal Garante privacy[1] per i trattamenti illeciti di dati legati all’attività di marketing fornisce gli elementi essenziali per una corretta delimitazione delle responsabilità tra titolare e responsabile esterno ed è un chiaro esempio delle conseguenze sanzionatorie a cui le aziende vanno incontro se non gestiscono adeguatamente gli aspetti fondamentali della normativa sulla protezione dei dati.

Titolare e responsabile esterno, tra doveri e responsabilità

Il provvedimento è sicuramente estremamente complesso e molto ampio anche se si può dividere in tre grandi categorie:

  1. trattamento dei dati degli interessati senza il consenso o con un consenso viziato;
  2. mancato rispetto di una idonea conservazione dei dati;
  3. gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati.

All’interno della prima categoria, il provvedimento si concentra su un aspetto che merita un approfondimento: il concetto di titolare e responsabile esterno e i rispettivi doveri e responsabilità.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

A questo proposito, sono di particolare interesse le considerazioni svolte dall’Autorità con riferimento alle telefonate effettuate nei confronti di utenze non inserite nella lista di contattabilità di TIM (“fuori lista”) da parte di alcuni call center partner della Società.

Dall’istruttoria svolta è infatti emerso che le telefonate effettuate dai call center a tali utenze erano il frutto di una “costante prassi operativa riconducibile a una cosciente scelta aziendale” di TIM e “non riferibile ad eccezionali iniziative non autorizzate intraprese”, ad insaputa del committente, dal personale del call center incaricato delle attività promozionali.

Più nel dettaglio, rispetto alle utenze “fuori lista”, l’Autorità ha ritenuto di attribuire la responsabilità del trattamento dei dati per finalità promozionale anche a TIM sulla base dell’influenza effettiva che la Società ha esercitato nel determinare le finalità e le modalità del trattamento in questione.

In sostanza, l’Autorità ha ribadito che la determinazione delle responsabilità in capo ai soggetti coinvolti nel trattamento deve basarsi su un’analisi fattuale piuttosto che formale, andando quindi a esaminare “elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità”[2].

Ed è proprio l’analisi fattuale a far emergere la responsabilità di TIM, quale titolare del trattamento, rispetto all’attività di telemarketing svolta dagli operatori dei call center. La Società è di fatto il soggetto committente per conto del quale tale attività viene svolta sulla base sia del contratto che della prassi operativa dei call center: gli operatori del call center svolgono le proprie mansioni utilizzando non solo il nome e l’immagine di TIM ma anche gli script dei messaggi promozionali della Società. Inoltre, la Società è il soggetto che più beneficia dei vantaggi economici derivanti dai contratti stipulati con gli interessati che decidono di aderire all’offerta proposta telefonicamente dagli operatori.

A ciò occorre aggiungere che dall’analisi dei contratti con i partner, è emerso che TIM ha espressamente incaricato tali soggetti a svolgere attività promozionali contattando anche utenze “fuori lista”, quali i “lead” senza al contempo definire il concetto di “lead” né le modalità procedurali per contattare tali utenze.

Così facendo, TIM ha accettato “il rischio di contatti non conformi alla normativa, anzi incoraggiando, già nelle previsioni contrattuali, tali attività e incamerando nei propri sistemi informativi i dati dei contatti commerciali – effettuati in assenza del consenso degli interessati, ma andati a buon fine – nonché introitando le conseguenti utilità economiche”.

In sostanza, l’Autorità ha osservato che sebbene i dati delle utenze fossero stati raccolti in violazione della normativa privacy, TIM ha accettato la registrazione di quei dati nei propri sistemi senza verificarne la legittima acquisizione. La Società ha quindi omesso di implementare le misure adeguate ed efficaci per garantire e dimostrare la conformità del trattamento alla normativa privacy, in violazione del principio di accountability.

Inoltre, dal momento che i partner di TIM hanno contattato utenze al di fuori delle liste di contattabilità definite da TIM, l’Autorità ha ritenuto anche astrattamente configurabile un rapporto di contitolarità tra TIM e i suoi partner: contattando utenze al di fuori del perimetro contrattuale definito formalmente con TIM, i partner hanno di fatto contribuito a definire le finalità e i mezzi del trattamento “perlomeno riguardo alla finalità di acquisizione di nuovi clienti”.

Ciò è ancor più vero considerando che sia TIM che i suoi partner traggono vantaggio economico dalla conclusione dei contratti con gli interessati. Il corrispettivo dei partner viene infatti calcolato anche sulla base dei contratti attivati per effetto delle attività promozionali.

L’interpretazione proposta dal Garante si pone tra l’altro in linea con la giurisprudenza comunitaria da cui si evince che le responsabilità dei soggetti coinvolti nel trattamento non possono essere scisse dai vantaggi economici che tali soggetti ricavano dal trattamento (Google Spain, causa C-131/12). Seguendo questa logica, secondo l’Autorità, l’attività di telemarketing effettuata dai partner di TIM nei confronti dei “fuori lista” deve ritenersi funzionale al perseguimento di un interesse economico condiviso ed unitario. Non risulta pertanto possibile, né corretto agli occhi del Garante, far discendere da tale attività unitaria obblighi e responsabilità diverse in capo a tali soggetti.

Considerazioni finali

In sintesi, con riferimento alle telefonate alle utenze “fuori lista”, l’Autorità ha ritenuto di potere qualificare il rapporto tra TIM e i suoi partner in termini di contitolarità.

Rispetto invece alle telefonate indesiderate per via di presunte sviste o errori di digitazione commessi dai call center, l’Autorità ha ravvisato una “culpa in vigilando” in capo a TIM sull’operato dei partner, riportando così il rapporto tra TIM e i suoi partner nell’alveo dell’articolo 28 GDPR.

L’Autorità ha infatti ritenuto TIM responsabile di una violazione dell’articolo 28, par.3 lett. a) del GDPR per non avere verificato, anche tramite audit, che non venissero effettuate telefonate in mancanza dei presupposti di liceità del trattamento.

Ugualmente, l’Autorità ha riscontrato una violazione dell’obbligo di vigilanza ai sensi dell’articolo 28 per non avere adeguatamente verificato l’inserimento tempestivo nelle blacklist dei dinieghi espressi degli utenti nel corso dei contatti commerciali con gli operatori dei call center.

L’Autorità ha quindi fornito (o meglio ribadito) gli elementi essenziali su cui fondare l’analisi per una corretta individuazione del ruolo di titolare/contitolare e responsabile nel rapporto tra committente e propri partner.

Il Garante ha infatti sottolineato la necessità di svolgere un’analisi fattuale piuttosto che formale avendo riguardo all’influenza effettiva esercitata dalle parti coinvolte nella determinazione dei mezzi e delle finalità del trattamento e al legame tra i vantaggi economici derivanti dal trattamento e i conseguenti obblighi e responsabilità.

Questi chiarimenti sono di importanza fondamentale nell’applicazione della normativa sulla protezione dei dati personali: sono infatti proprio i concetti di titolare e responsabile a determinare come gli obblighi e le responsabilità che discendono dalla normativa devono essere distribuiti tra i soggetti coinvolti nella filiera del trattamento.

NOTE

  1. Garante per la protezione dei dati personali, Provvedimento del 15 gennaio 2020, doc. web. n. 9256486.
  2. Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr