Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

La corretta qualificazione dei “destinatari” dei dati personali: problematiche e spunti di riflessione

La corretta qualificazione dei “destinatari” di dati personali e l’individuazione del ruolo soggettivo loro attribuito continua a presentare non poche criticità. Ecco qualche spunto di riflessione tratto dalla recente nota del Garante sul ruolo soggettivo dell’impresa assicuratrice nei bandi di gara della P.A. e dalle Linee Guida dell’EDPS sui concetti di titolare, responsabile e contitolare

02 Dic 2019
D
Laura Di Liddo

Consulente e formatore privacy, DPO, GRCteam Senior Consultant


Nello svolgimento delle attività di trattamento che gli sono proprie, il titolare si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, i destinatari dei dati personali: la corretta valutazione dei soggetti esterni che a vario titolo hanno rapporti contrattuali/convenzionali con il titolare e la loro corretta qualificazione sono elementi fondanti della legittimità del trattamento di comunicazione effettuato, della relativa allocazione delle responsabilità connesse al trattamento dei dati, della predisposizione del set documentale e procedurale a corredo, quindi in ultima analisi dell’accountability del titolare.

A tale proposito, il Regolamento (UE) 2016/679 (GDPR) definisce all’art. 4 punto 9 il “destinatario” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi”. E al successivo punto dello stesso articolo il “terzo” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

Si tratta dunque dell’ampia categoria di soggetti, interni o esterni all’organizzazione, a vario titolo destinatari della comunicazione di dati personali, che devono essere correttamente qualificati in funzione del ruolo effettivamente assunto nel contesto delle attività di trattamento di cui si tratta.

Tuttavia, con particolare riguardo ai soggetti esterni, ad oltre un anno dalla piena applicazione del Regolamento questo processo di valutazione e qualificazione incontra non poche difficoltà, in parte dovute all’oggettiva difficoltà di interpretare situazioni complesse, in parte causate da formalismo o eccessivo determinismo che mal si conciliano con la richiesta di attenzione alla sostanza che caratterizza il Regolamento europeo.

Nel seguito dell’articolo si riprende la classificazione dei ruoli previsti dall’attuale quadro normativo, la si attualizza e la si arricchisce con ulteriori elementi di valutazione tratti da alcuni recenti provvedimenti in materia.

Ruoli e processo di qualificazione dei destinatari dei dati personali

Occorre anzitutto rimarcare che non tutti i contratti/affidamenti con soggetti esterni cui sono affidate attività o servizi di competenza del titolare comportano l’applicazione della normativa in materia di protezione dei dati personali: tutte le volte in cui un determinato contratto/affidamento non implica il trattamento di dati personali, lo stesso non richiede il processo di valutazione e di qualificazione di cui sopra.

Va inoltre tenuto ben presente che l’individuazione dei ruoli (quello di responsabile del trattamento, ovvero di contitolare o, ancora, di titolare autonomo) nella maggior parte dei casi non è una situazione assolutamente predeterminata, potendo variare a seconda delle modalità di organizzazione delle attività che comportano il trattamento dei dati personali: dovrebbe prevalere, al riguardo, una valutazione di tipo sostanziale e non meramente formale[1], basata su un approccio pragmatico finalizzato a garantire l’effettiva protezione dei dati.

Il titolare del trattamento

Come già specificato nell’Opinion 1/2010 del WP29[2], la qualifica di “titolare del trattamento” è desumibile da tre ordini di circostanze che il WP29 categorizza come segue:

  1. in forza di una legge o disposizione di fonte secondaria (c.d. “esplicita competenza giuridica”) che attribuiscano ad un soggetto una funzione istituzionale ovvero specifici compiti che comportano il trattamento di date personali. Potrebbe ad esempio essere il caso di un ente cui sono affidate mansioni pubbliche (ad es. la sicurezza sociale) che non possono essere assolte senza raccogliere almeno una serie di dati personali. In tal caso, è dalla legge che discende chi è il titolare del trattamento;
  2. in forza di un contratto o atto analogo tra le parti, o in forza di una prassi giuridica consolidata in diversi settori (diritto civile, diritto commerciale, diritto del lavoro ecc.) che consenta esplicitamente od implicitamente (c.d. “competenza implicita”) di individuare tale qualifica. In tal caso i ruoli tradizionali esistenti, connotati da un intrinseco grado responsabilità, potranno aiutare ad individuare il titolare del trattamento: ad es. il datore di lavoro per i dati dei suoi dipendenti, l’editore per i dati dei suoi abbonati, l’associazione per i dati dei suoi membri o sottoscrittori. In tutti questi casi, la competenza a determinare le attività di trattamento può essere considerata naturalmente collegata al ruolo funzionale svolto dall’organizzazione, che comporta in definitiva delle responsabilità anche sul piano della protezione dei dati;
  3. a prescindere da una specifica competenza o dalla facoltà di controllare i dati conferita per legge o per contratto, sulla base di elementi fattuali e circostanze concrete (c.d. “influenza effettiva”) che pongano l’ente o l’organizzazione in una “posizione di dominanza” rispetto ai dati acquisiti, ovvero quando l’ente o l’organizzazione esercitino “in autonomia” un determinato trattamento. Il fatto stesso che l’ente determini le finalità ed i mezzi del trattamento dei dati personali può far scattare la qualifica di titolare del trattamento, anche se al di fuori dell’ambito di una relazione contrattuale o addirittura se esplicitamente esclusa dal contratto. In quest’ottica, in caso di dubbio, per individuare il titolare del trattamento si possono esaminare anche altri elementi extracontrattuali, come il grado di controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità.

Secondo il WP29, le prime due categorie consentono in linea di principio di individuare con relativa sicurezza il titolare del trattamento e possono applicarsi in pratica alla maggior parte delle situazioni rilevanti, purché la designazione giuridica rispecchi la realtà della situazione.

La terza categoria richiede invece un’analisi più complessa e può più facilmente portare ad interpretazioni divergenti. Le clausole di un contratto possono spesso aiutare a chiarire la questione, ma non sono sempre decisive: in tali casi il processo di qualificazione deve fondarsi sulla valutazione dell’influenza effettiva esercitata dal soggetto.

Se nessuna delle categorie di cui sopra è applicabile, secondo il WP29 la qualificazione di un titolare del trattamento dovrà essere considerata “nulla”: un organismo che non ha un’influenza, né giuridica né di fatto, per determinare le finalità ed i mezzi del trattamento dei dati non può in effetti essere considerato il titolare del trattamento.

I rapporti di contitolarità

Due o più soggetti possono assumere la qualifica di contitolari, oggi ai sensi degli artt. 4 punto 7 e art. 26 del GDPR, quando, in relazione ad uno o più trattamenti, ne determinino congiuntamente le finalità ed i mezzi. A tali fini:

  • per “finalità” deve intendersi il “perché” debba essere effettuato un trattamento di dati;
  • per “mezzi”, devono intendersi non solo gli strumenti tecnici utilizzati per trattare i dati personali (ad es., uno specifico applicativo informatico e le relative misure di sicurezza), ma anche il “come” debba essere effettuato il trattamento, cioè “quali dati trattare”, “chi può avervi accesso”, “quanto tempo conservarli ” eccetera.

Tali rapporti devono essere sempre valutati caso per caso ed interpretati alla luce dello specifico contesto. Alcuni esempi di contitolarità potrebbero ricorrere nei seguenti casi:

  • due o più soggetti si accordano (mediante la stipula di un contratto, un protocollo o una convenzione) per svolgere congiuntamente un’attività o un progetto che comportano il trattamento di dati personali (ad es. un progetto di ricerca; un’operazione di co-marketing);
  • un soggetto partecipa in partnership con altri enti, organismi pubblici o privati, a progetti di portata nazionale o comunitaria che comportano il trattamento di dati personali.

Nel contesto della contitolarità, comunque, la partecipazione delle parti alla determinazione congiunta può assumere varie forme e può non essere necessariamente ripartita in modo uguale. In effetti, quando vi è una pluralità di attori, questi possono avere una relazione molto stretta (condividendo, ad esempio, tutte le finalità e tutti i mezzi di un trattamento) o più distante (condividendo ad esempio solo le finalità o i mezzi, o una parte di essi).

In ogni caso, quando si confermi una situazione di contitolarità, occorrerà procedere alla definizione dell’accordo interno previsto all’art. 26 del Regolamento europeo, incluso oppure a latere dell’atto principale, nel quale si definiscano le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento nel contesto delle attività in contitolarità, con particolare (ma non esclusivo) riferimento:

  • all’identificazione del soggetto che rilascia l’informativa, acquisisce gli eventuali consensi al trattamento e che risponde in caso di esercizio dei diritti da parte degli interessati;
  • all’eventuale previsione di un unico punto di contatto (es., uno dei contitolari ovvero il Responsabile della Protezione dei Dati di uno dei contitolari) per gli interessati.

Il responsabile del trattamento

Nella normale operatività di impresa ricorrono situazioni nelle quali il titolare, scegliendo di esternalizzare un servizio, si trova a dover consentire ad un soggetto terzo (ovvero diverso dall’interessato e dal titolare e relativa struttura organizzativa) di accedere ai dati personali necessari per espletarlo.

Per evitare di ricadere nella più onerosa fattispecie della “comunicazione di dati personali”[3], in questi casi si applica lo schema di responsabilità ex art. 28 del GDPR: in altre parole, il soggetto esterno entra sostanzialmente a far parte del perimetro di trattamento dei dati personali del titolare, ovvero del suo ambito di titolarità, operando sotto la sua autorità.

Tale configurazione del rapporto legittima il terzo a trattare, per la parte di competenza, i dati che rientrano nel dominio del titolare, vincolandolo però a standard di prestazione e di comportamento ben definiti nelle istruzioni che il titolare è tenuto a fornire al responsabile.

Quest’ultimo conserva una parziale autonomia riguardante la concreta configurazione del servizio ed alcune scelte tecnico-operative connesse, ma non anche le principali decisioni sulle finalità e sulle modalità di utilizzazione dei dati che spettano esclusivamente al titolare del trattamento.

Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti[4].

Gli stessi soggetti personalizzano e propongono, generalmente in allegato al contratto principale, un Data Processing Agreement che, quale elemento integrante e sostanziale del contratto principale, descrive le attività di trattamento esternalizzate ed il cui contenuto deve essere sempre attentamente valutato e personalizzato in funzione delle specifiche esigenze e della consistenza dei trattamenti oggetto di regolamentazione.

Acquisizione di servizi che comportano la funzione di amministratore di sistema

I contratti o gli affidamenti che comportano l’acquisizione di sistemi o servizi di tipo applicativo o infrastrutturale prevedono di regola un’attività di assistenza e manutenzione svolta direttamente dal soggetto che fornisce il servizio. Tale attività, pur non avendo come obiettivo o ad oggetto un trattamento di dati personali, può comportare comunque, anche solo incidentalmente, l’accesso e la conoscibilità dei dati.

Il punto 3-bis del Provvedimento a carattere generale del Garante sugli amministratori di sistema[5] già prevedeva che nel caso di servizi di amministrazione di sistema affidati in outsourcing, ciò avvenisse “nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell´art. 29 del Codice, o anche tramite opportune clausole contrattuali”.

In questi casi ed in conformità al nuovo quadro normativo, la valutazione preliminare in merito all’affidabilità del fornitore deve essere rafforzata, in considerazione della rilevanza e delicatezza delle peculiari mansioni affidate e le istruzioni fornite al responsabile/amministratore di sistema devono essere ulteriormente specificate, richiamando non solo le prescrizioni già previste dal citato provvedimento sugli amministratori di sistema, ma definendo le misure di sicurezza adeguate al caso specifico ex art. 32 del GDPR.

Incarichi professionali o di consulenza

Con riferimento al soggetto esterno- persona fisica a cui venga affidato lo svolgimento di attività da parte del titolare del trattamento, lo stesso può essere inquadrato nei seguenti schemi:

  • titolare autonomo del trattamento, ad es., quando l’incarico conferito sia connotato da spiccata autonomia professionale e gestoria;
  • responsabile del trattamento ex art. 28 del GDPR;
  • soggetto autorizzato al trattamento (art. 29 del GDPR e art. 2 quaterdecies, comma 2 del D.Lgs. 196/2003).

Di nuovo, la valutazione deve essere effettuata in modo sostanziale, con specifico riguardo allo schema contrattuale alla base del rapporto, alla concreta regolamentazione delle modalità operative di realizzazione delle attività ed all’effettivo grado di autonomia esercitato dalle parti.

Di conseguenza, qualora si ricada nella prima casistica, basterà richiamare nel documento contrattuale tale qualifica e l’assunzione diretta da parte del soggetto esterno delle relative responsabilità.

In via generale[6], è il caso, ad esempio, dei componenti del Collegio Sindacale oppure del revisore legale dei conti (i cui ampi poteri di controllo conferiti dalla normativa di riferimento non paiono conciliabili con le altre figure previste dalla legge di responsabile o autorizzato, che presuppongono una subordinazione al titolare del trattamento in ordine alla definizione di compiti, istruzioni impartite e vigilanza sull’attività espletata); del notaio, dell’avvocato nell’ambito della procura alle liti, del consulente tecnico di parte, del medico competente in materia di salute e sicurezza sul lavoro[7], in quanto operanti nell’ambito della propria autonomia, responsabilità professionale e con una autonoma – se pur variamente configurata – organizzazione di mezzi.

Qualora si ricada nella seconda casistica, dovrà essere stipulato l’accordo sul trattamento dei dati ex art. 28 del GDPR; nel caso in cui si scelga la terza soluzione, nel documento contrattuale dovranno essere previste le clausole idonee in riferimento ai trattamenti oggetto dell’incarico affidato[8], contenenti le istruzioni specifiche necessarie per l’esecuzione delle attività previste da svolgersi sotto la diretta autorità del titolare[9].

Ulteriori casistiche

Nell’ambito di uno stesso rapporto contrattuale il soggetto terzo può però anche rivestire ruoli soggettivi differenti: si pensi, ad esempio, al medico competente in materia di salute e sicurezza del lavoro, al revisore dei conti o allo stesso Organismo di Vigilanza.

In tali casi, la funzione istituzionale svolta dal soggetto o organismo rientra nell’ambito di una titolarità autonoma rispetto all’azienda di riferimento, tuttavia allo stesso tempo, gli stessi soggetti ben potrebbero svolgere ulteriori attività accessorie alle precedenti, potenzialmente rientranti in una relazione titolare/responsabile: con riferimento al medico competente, ciò potrebbe avvenire quando lo stesso assuma anche incarichi connessi alla gestione organizzativa del piano di sorveglianza sanitaria dell’azienda.

In via speculare, soggetti che tipicamente operano come responsabili del trattamento, quali ad esempio il provider di servizi informatici o il consulente del lavoro, potrebbero operare anche quali titolari autonomi. Questi soggetti agiranno prevalentemente come responsabili del trattamento ma potrebbero anche agire in ambiti – per lo stesso rapporto contrattuale col cliente – in cui assumono il ruolo di titolare[10].

In tali casi spetterà alle parti individuare correttamente nell’accordo di data protection tra di loro sottoscritto queste ulteriori e specifiche attività svolte, quindi i ruoli e le conseguenti responsabilità assunti con riferimento a tali attività.

La recente nota del Garante

Al fine di fornire ulteriori spunti nell’effettuazione del processo di valutazione e qualificazione di cui sopra, è senz’altro utile richiamare la posizione espressa dal Garante nel rispondere al quesito ricevuto da una compagnia di assicurazione in merito al ruolo di responsabile aprioristicamente previsto dagli enti aggiudicanti nei bandi di gara per l’affidamento di servizi assicurativi di varia natura (polizze infortuni, responsabilità civile di terzi ecc.).

L’Autorità Garante ha infatti ricostruito il percorso logico della qualificazione dei ruoli, rispettivamente, di titolare e di responsabile[11], criticando la prassi che prevede che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento europeo.

L’Autorità, nel ribadire che l’attuale quadro normativo in materia di protezione dei dati personali[12] riconferma il precedente assetto regolatorio previsto per l’individuazione dei ruoli di “titolare” e di “responsabile”[13], osserva che, ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, “è necessario valutare, caso per caso, la specificità dell’attività posta in essere, mentre non rileva a tal fine la modalità con la quale l’ente aggiudicante (come nell’ipotesi della gara di appalto) effettua la scelta o la selezione del soggetto che fornirà il servizio.”

In base a questi presupposti per l’Autorità è evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.

Secondo il Garante la conclusione deriva da una serie rilievi: 1) l’attività assicurativa è riservata per legge a soggetti specializzati – le compagnie, appunto – e sottoposti ad una disciplina di settore; 2) una pubblica amministrazione non può svolgere direttamente questa attività, né tanto meno delegarla a soggetti terzi; 3) l’attività dell’assicurazione è effettuata in modo totalmente autonomo da parte della compagnia, per il perseguimento di proprie finalità totalmente distinte da quelle dell’ente aggiudicante.

La conclusione è che la società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce in qualità di autonomo titolare, in quanto non effettua alcun trattamento di dati “per conto” dell’ente aggiudicante, bensì per finalità proprie e con modalità definite dalla normativa di settore.

Le Linee guida dell’EDPS

Il 7 novembre scorso l’European Data Protection Supervisor (EDPS)[14] ha adottato le “EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725”. Per quanto tali Linee guida riguardino specificatamente le istituzioni e gli organi comunitari nell’adempimento degli obblighi loro imposti dal Regolamento (UE) 2018/1725 e mirino a fornire un supporto pratico e istruzioni alle istituzioni comunitarie, le stesse contengono indicazioni comunque utili in via generale a tutte le organizzazioni che affrontano il problema della qualificazione dei ruoli soggettivi come previsti dal GDPR[15].

Le Linee guida analizzano i concetti di titolare, responsabile e contitolare riconfermando in buona sostanza le indicazioni e le classificazioni fornite dal WP29 nell’Opinion 1/2010 e rimarcando in modo chiaro che solo il titolare può determinare le finalità ed i mezzi del trattamento[16] in virtù del reale potere decisionale che gli compete e che gli consente di esercitare una “factual influence” sul trattamento stesso, e questo anche se non accede materialmente ai dati trattati[17].

Tuttavia, le Linee guida sembrano riconoscere una maggiore autonomia al ruolo del processor: esse affermano infatti che il responsabile non è necessariamente un semplice “subordinato” e può comunque godere di un notevole grado di autonomia quando agisce per conto del responsabile del trattamento.

Non è necessario che il titolare imponga tutte le modalità di trattamento ed il responsabile può anche proporre di sua iniziativa lo svolgimento di determinate attività di trattamento, rispetto alle quali, tuttavia, è comunque riservata al titolare la decisione finale.

La parte più significativa del provvedimento ai fini dell’impostazione, in via generale, del processo di individuazione e qualificazione dei ruoli soggettivi, è quella contenuta nel flowchart rappresentativo del flusso che porta ad individuare il possibile ruolo assunto e nelle checklists[18] di supporto dedicate alla qualificazione, rispettivamente, del ruolo di titolare e di responsabile.

Il flowchart, in particolare, fornisce uno schema logico molto utile ed applicabile da qualunque organizzazione che si trovi, in via generale, a dover valutare il ruolo data protection effettivamente ricoperto: lo si riporta in conclusione, liberamente tradotto dall’originale contenuto nell’Annex 1 delle Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725.

NOTE

  1. 1 Cfr. Provvedimento dell’Autorità Garante, “Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016” del 22 gennaio 2019, doc web n. 9080970.
  2. Si tratta dell’Opinion 1/2010 on the concepts of “controller” and “processor” adottata il 16 febbraio 2010 dal Working Party 29, ora European Data Protection Board (EDPB).
  3. L’art. 2-ter, par.4 lett.a) del Codice novellato definisce “comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione”.
  4. Cfr. cons. 81 e art. 28 del Regolamento.
  5. Si tratta del noto Provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (in G.U. n. 300 del 24 dicembre 2008) e s.m.i. [doc. web n. 1577499].
  6. Anche se, come vedremo, nell’ambito dello stesso rapporto contrattuale può accadere che uno stesso soggetto rivesta ruoli diversi con riferimento alle diverse attività svolte.
  7. Questa è la posizione assunta dall’Autorità Garante nel rispondere al quesito ricevuto dalla Società Italiana di Medicina del Lavoro relativo al ruolo assunto dal medico competente nell’ambito del trattamento dei dati personali (nota prot. n. 7797 del 27.02.2019)
  8. Cfr. Provvedimento del Garante Utilizzazione da parte di comuni e di Corpi di polizia municipale di laboratori fotografici per lo sviluppo di fotografie da apparecchiature del tipo “autovelox” [doc. web 40313], in base al quale “Rivestono la qualità di “incaricati del trattamento” i privati/persone fisiche che ricevono da un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l´incarico del trattamento di dati personali connesso all´espletamento dei compiti istituzionali dell´amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa, che conserva la qualità di “titolare del trattamento”, e che non comporti decisioni di fondo sulle finalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine al concreto svolgimento del servizio ed a scelte tecnico-operative”.
  9. Cfr., a conferma della sostanziale continuità di impostazione, art. 2-quaterdecies del Codice novellato, ove si specifica “ll titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
  10. Il Garante nel rispondere al quesito ricevuto dal Consiglio nazionale dei consulenti del lavoro relativo, appunto, al ruolo dei consulenti del lavoro dopo la piena applicazione del Regolamento europeo, ne ha precisato il ruolo e le responsabilità, identificandoli come “responsabili del trattamento” quando trattano  i dati dei dipendenti dei loro clienti in base all’incarico da questi ricevuto. Gli stessi consulenti del lavoro sono però “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti, determinando puntualmente le finalità e i mezzi del trattamento.
  11. Il Garante ha più volte affrontato, in passato, il tema della qualificazione del fornitore di servizi alla p.a., individuando quali responsabili del trattamento:i soggetti privati chiamati a collaborare con l’ente pubblico per lo svolgimento di compiti istituzionali, come una società incaricata da un comune di effettuare misurazioni presso abitazioni per l’accertamento della tassa di smaltimento dei rifiuti (provvedimento 29 luglio 1998 doc. web. n. 31023 );il concessionario di pubblici servizi che agisce in funzione servente all’amministrazione finanziaria concedente per del servizio di deposito, inventario ed alienazione dei beni mobili iscritti in pubblici registri e sottoposti a confisca amministrativa (provvedimento 15 ottobre 1998 doc. web n. 30859);

    la società di consulenza informatica, professionisti ed altri organismi che elaborano dati inerenti a clienti, fornitori, dipendenti, a fini di gestione amministrativa e contabile (provvedimento 26 novembre 1998 doc. web n. 1106529).

  12. Quindi il Regolamento (UE) 2016/679 e il d.lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018.
  13. Infatti il Regolamento, da un lato, definisce quale “titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) e, dall’altro, quale “responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8), riconfermando sostanzialmente le definizioni contenute nella Direttiva 95/46/CE (art. 2, lett. d) ed e); e nel Codice ante-novella (art. 4, par. 1, lett.f) e g)).
  14. L’EDPS o Garante europeo della protezione dei dati (GEPD) è l’organismo che controlla l’applicazione delle norme in materia di protezione dei dati da parte delle istituzioni europee quando trattano dati personali.
  15. Le Linee guida propongono infatti molti esempi, delle checklists ed un flowchart che possono risultare molto utili nell’orientare la riflessione.
  16. Il titolare (controller) è “the entity that decides on the “what” and “how” of the processing …”
  17. Cfr. pag. 10 “An entity does not need to have access to personal data to be considered a controller. It is enough if it determines the purposes and means of processing, has influence on the processing by causing the processing of personal data to start (and being able to make it stop), or receives the anonymous statistics based on personal data collected and processed by another entity.”
  18. Le checklists, alle quali si rimanda, prevedono che la maggioranza di risposte affermative rispetto agli elementi indicati, porti a riconoscersi nello specifico ruolo analizzato. A questo proposito anche l’ICO ha fornito strumenti analoghi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5