Titolare, contitolare e responsabile del trattamento dati: definizione di ruoli

LINEE GUIDA EDPB

Titolare, contitolare e responsabile del trattamento dati: una chiara definizione dei ruoli

Sono state sottoposte a consultazione pubblica le nuove linee guida dell’EDPB per una chiara definizione dei ruoli di titolare, contitolare e responsabile del trattamento dati dalla quale determinare obblighi e responsabilità in merito all’osservanza delle norme relative alla protezione dei dati. Ecco alcuni utili esempi pratici

14 Set 2020
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist


L’EDPB (European Data Protection Board) lo scorso 7 settembre ha pubblicato un testo di linee guidaGuidelines on the concepts of controller and processor in the GDPR”, sottoposte a consultazione pubblica fino al 19 ottobre 2020, sui concetti di titolare, e responsabile del trattamento dedicando un’ampia sezione anche alla definizione di contitolari e che sostituiscono le precedenti Linee Guida 1/2010 del Gruppo di Lavoro ex Art. 29: lo scopo è quello di chiarire, in modo uniforme per tutto lo Spazio Economico Europeo il significato dei concetti di “titolare”, “contitolare” e “responsabile” del trattamento dei dati, poiché la definizione di tali ruoli svolge un ruolo cruciale nell’applicazione del Regolamento 2016/679 (GDPR); da essa, infatti, si determinano obblighi e responsabilità in merito all’osservanza delle norme, UE e locali, relative alla protezione dei dati, nonché le modalità con cui gli interessati possono esercitare i loro diritti.

Con questo documento, l’EDPB fornisce indicazioni più puntuali e precise sul significato dei concetti di titolare e responsabile del trattamento alla luce delle definizioni contenute nel Regolamento UE 2016/679 (“GDPR”), Art 4, per evidenziare le peculiarità dei diversi ruoli nonché la distribuzione delle responsabilità tra gli attori coinvolti nelle attività di trattamento dei dati personali (con particolare riferimento alle previsioni contenute nel Capo IV GDPR).

Per evidenziare l’importanza della corretta individuazione dei ruoli, le linee Guida sottolineano che molte regole specifiche sono rivolte a entrambi i soggetti, titolare e responsabile ed entrambi possono essere sanzionati in caso di non compliance agli obblighi di cui al GDPR.

Il concetto di titolare del trattamento

Titolare del trattamento, ex art 4(7) GDPR è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Il titolare, quindi, decide gli elementi chiave: le finalità e i mezzi, ovvero il perché e il come del trattamento e li determina entrambi.

Il concetto di titolare è autonomo: deve, cioè, essere interpretato principalmente alla luce delle disposizioni relative alla protezione dei dati nell’UE, e funzionale, nel senso che è finalizzato all’assegnazione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale.

La definizione di titolare si articola intorno a cinque elementi principali:

  1. il soggetto (“la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo”);
  2. il potere decisionale (“determina”);
  3. la possibilità di una responsabilità plurima (“singolarmente o insieme ad altri”);
  4. l’oggetto dell’influenza, del potere decisionale del titolare, ovvero le finalità e i mezzi del trattamento;
  5. il trattamento di dati personali, cui le finalità e i mezzi riferiscono.

L’individuazione del ruolo di titolare deve avvenire sulla base di un’analisi delle concrete attività svolte con riferimento al trattamento in uno specifico contesto, poco rileva la designazione formale.

Importante è anche la determinazione dei mezzi: il potere decisionale del titolare con riferimento ai mezzi, deve riferirsi agli aspetti fondamentali dei mezzi, quali la tipologia di dati personali trattati (quali dati devo trattare?), la durata del trattamento, le categorie di destinatari (chi ha accesso ai dati?) e le categorie di interessati.

La determinazione dei “mezzi”, infatti, comprende tutti gli strumenti, incluse questioni sia tecniche che organizzative “non essenziali” la cui decisione può anche essere delegata al Responsabile (ad es. “quale hardware o software utilizzare?”).

Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati personali che vengono trattati per essere qualificato come titolare del trattamento.

Il potere decisionale può derivare dalla legge o dedotte dalle circostanze concrete (possono derivare dalle competenze professionali con riferimento ad alcuni tipi di attività o devono essere determinate dai termini dedotti in contratto, valutando le concrete specifiche circostanze).

Definizione del ruolo del titolare del trattamento: alcuni esempi

L’EDPB propone alcuni casi esemplificativi, evidenziando l’importanza che l’analisi venga fatta in modo fattuale sulla base delle concrete circostanze.

  1. Studio legale. Uno studio legale rappresenta un suo cliente in giudizio, e nell’ambito di tale funzione tratta dati personali collegati al caso del cliente. La ragione del trattamento dei dati è il mandato ricevuto dal cliente, avente ad oggetto la rappresentanza in giudizio. Lo studio legale agisce con un significativo grado di indipendenza, ad esempio nel decidere quali informazioni utilizzare e come e non ci sono istruzioni da parte del cliente con riferimento al trattamento di dati personali. Il trattamento che lo studio legale effettua per adempiere al suo obbligo nel rappresentare il cliente è, pertanto, legato al ruolo funzionale dello studio legale, che deve essere considerato titolare del trattamento per tale trattamento. Tali professioni devono quindi essere considerate come “titolari” indipendenti per quanto riguarda il trattamento dei dati svolto nell’ambito della rappresentanza legale del cliente.
  2. Contabile. La qualifica del contabile può variare a seconda del contesto. Quando fornisce servizi ai clienti sulla base di istruzioni molto generali (le linee guida danno l’esempio di un audit dettagliato), senza istruzioni dettagliate da parte del cliente, il trattamento è – in conformità con le leggi che regolano questa professione – effettuata nell’ambito dell’attività principale del contabile, che sarà un titolare. Mentre se dovesse svolgere un’attività più operativa, limitata e ausiliaria, sulla base di istruzioni dettagliate del titolare, in una situazione in cui la legge non stabilisce obblighi specifici, potrebbe agire come responsabile.
  3. Attività Payroll. Il datore di lavoro A assume un’altra società per gestire il pagamento degli stipendi ai suoi dipendenti. A fornisce istruzioni chiare su chi pagare, quali importi, entro quale data, da quale banca, per quanto tempo i dati devono essere conservati, quali dati dovrebbero essere comunicati all’autorità fiscale, ecc. In questo caso, il trattamento dei dati è effettuato per perseguire la finalità di A di pagare gli stipendi ai propri dipendenti e la società di payroll non può utilizzare i dati per scopi propri. Il modo in cui la società di payroll dovrebbe effettuare il trattamento è in sostanza chiaramente e strettamente definito. Tuttavia, la società di payroll può decidere su alcune questioni di dettaglio relative al trattamento, come ad esempio quale software utilizzare, come assegnare gli accessi all’interno della propria organizzazione, ecc. senza che questo alteri il suo ruolo di responsabile, fintantoché la società di payroll non vada contro o oltre le istruzioni impartite da A.
  4. Banca. La società di payroll dell’esempio precedente, tra le attività da svolgere per conto di A, deve comunicare informazioni alla Banca B, perché proceda ad effettuare il pagamento ai dipendenti. Questa attività comprende il trattamento di dati personali da parte della Banca B che essa effettua all’interno dell’attività bancaria. All’interno di questa attività, la banca decide, indipendentemente da A, circa i dati che devono essere trattati per fornire il servizio, il tempo dati di conservazione dei dati e via dicendo. A non può avere alcuna influenza sulla finalità e mezzi del trattamento dei dati da parte della Banca B, che deve pertanto essere considerata responsabile di tale trattamento e la trasmissione di dati personali da parte della società di payroll deve essere considerata come una comunicazione di informazioni tra due titolari (A e B).
  5. Hosting provider. Un internet service provider che fornisce servizi di hosting è in linea di principio un responsabile del trattamento per i dati personali.
  6. Distinti titolari. La società XYZ raccoglie e tratta i dati personali dei suoi dipendenti per gestire gli stipendi, le assicurazioni, ecc. La società ha anche l’obbligo di legge di inviare tutti i dati relativi agli stipendi all’amministrazione tributaria. In questo caso, anche se sia la società XYZ che l’autorità trattano gli stessi dati, ma l’assenza di finalità o strumenti comuni fa sì che le due entità siano due distinti titolari e lo scambio di informazioni sarà considerata comunicazione tra autonomi titolari.

Il concetto di contitolare del trattamento

L’art. 26 GDPR dispone che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

La qualifica di contitolare può sorgere quando più attori partecipano congiuntamente nella determinazione di finalità e mezzi di una o più specifiche attività di trattamento, sia in seguito a una decisione comune presa da due o più soggetti oppure come risultato di decisioni convergenti, quando tali decisioni si completano a vicenda e sono necessarie per il trattamento in modo tale da avere un impatto tangibile sulla determinazione delle finalità e delle modalità del trattamento.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Le Linee Guida indicano un criterio importante da seguire per determinare la contitolarità, ovvero la verifica del fatto che senza la partecipazione di entrambe le parti il trattamento non sarebbe possibile: il trattamento da parte di ciascuna parte risulta, quindi, inscindibile, ovvero inestricabilmente legati.

La partecipazione congiunta deve avvenire sia con riferimento alla determinazione delle finalità che alla determinazione dei mezzi. Il fatto che una delle parti non ha accesso ai dati personali non è da sola sufficiente a escludere la contitolarità.

La sussistenza di una contitolarità non implica necessariamente una responsabilità uguale tra i soggetti coinvolti.

Definizione del ruolo di contitolare del trattamento: alcuni esempi

Anche in questo caso, l’EDPB propone alcuni casi esemplificativi che aiutano nella corretta definizione del ruolo di contitolare del trattamento dati.

  1. Agenzia di viaggi. Un’agenzia di viaggi invia dati personali dei suoi clienti alla compagnia aerea e a una catena d’alberghi per effettuare delle prenotazioni per un pacchetto viaggi. La compagnia aerea e l’albergo confermano la disponibilità dei posti e delle camere richiesti. L’agenzia emette i documenti di viaggio e i voucher per i suoi clienti. In questo caso, l’agenzia di viaggi, la compagnia aerea e l’hotel saranno tre titolari distinti, ciascuno soggetto agli obblighi di protezione dei dati in relazione al proprio trattamento. La valutazione potrebbe, tuttavia, essere diversa se gli stessi soggetti decidessero di creare una piattaforma online comune per perseguire i loro fini congiuntamente ad es. per gestire i servizi di prenotazione e, condividendo i dati dei clienti, effettuare attività integrate di marketing. Laddove, nel creare tale infrastruttura, questi attori determinassero gli aspetti fondamentali degli strumenti da utilizzare, diventerebbero, relativamente a questi specifici trattamenti, contitolari, mentre manterrebbero la titolarità disgiunta per altre attività eventualmente svolte fuori dalla piattaforma comune.
  2. Marketing. Le aziende A e B hanno lanciato un prodotto co-branded C e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi clienti e prospects e definire la lista degli invitati all’evento. Essi concordano anche sulle modalità di invio degli inviti all’evento, su come raccogliere feedback durante l’evento e sulle successive azioni di marketing di follow-up. Le aziende A e B possono essere considerate come contitolari del trattamento dei dati personali relativi all’organizzazione e promozione dell’evento, considerando che decidono insieme le finalità e i mezzi essenziali del trattamento.
  3. Headhunters. Società X aiuta l’Società Y nel recruiting di nuovo personale, con il suo valore aggiunto servizio “global match “. Azienda X cerca candidati idonei sia tra i CV ricevuti direttamente dalla Società Y sia tra quelli che ha già nel proprio database. Tale database è creato e gestito dalla Società X per conto proprio. Anche se non hanno formalmente preso una decisione insieme, Aziende X e Y partecipano congiuntamente al trattamento con lo scopo di trovare candidati idonei sulla base di decisioni convergenti: la decisione di creare e gestire il servizio “global match” per la Società X e la decisione della Società Y arricchire il database con i CV che riceve direttamente. Tali decisioni si completano l’una con l’altra, sono inseparabili e necessarie per la finalità di ricerca di candidati. Pertanto, in questo caso particolare dovrebbero essere considerati come contitolari. Tuttavia, Società X rimane titolare autonomo del trattamento necessario per gestire la sua banca dati e la Società Y rimane titolare autonomo del successivo trattamento di assunzione (organizzazione di colloqui, conclusione del contratto e gestione delle risorse umane).

Le linee guida precisano, altresì, che non sempre l’utilizzo di una stessa infrastruttura comporta una contitolarità, così come non la determina la condivisione si uno stessi database.

  1. Operazioni di marketing in un gruppo di società che utilizzano un database condiviso. Un gruppo di società utilizza lo stesso database per la gestione dei clienti e dei prospects. Tale database è ospitato sui server della società capogruppo, che è quindi un responsabile del trattamento per quanto riguarda la conservazione dei dati. Ogni entità del gruppo inserisce i dati dei propri clienti e prospects e tratta tali dati solo per i propri scopi. Inoltre, ciascuna entità decide autonomamente in merito all’accesso, ai periodi di conservazione, alla correzione, modifica o cancellazione dei dati e non possono accedere o utilizzare i dati delle altre società. Il semplice fatto che queste società utilizzino una banca dati comune non implica di per sé che sussista tra loro una contitolarità. In queste circostanze, ogni società è quindi un titolare autonomo.

Il concetto di responsabile del trattamento

Responsabile (art. 4 (8) GDPR) è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Per qualificare un soggetto “responsabile” devono sussistere due requisiti essenziali:

  1. deve essere un soggetto distinto dal titolare del trattamento;
  2. deve trattare i dati personali per conto di quest’ultimo (nell’interesse del titolare).

Le linee guida ribadiscono che il responsabile del trattamento non deve trattare i dati personali se non su istruzione documentata del titolare del trattamento. Sul contenuto delle istruzioni del titolare sussiste un margine di discrezionalità, consentendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi maggiormente idonei.

Le Linee Guida evidenziano che non ha importanza se il testo di accordo è predisposto da una o dall’altra parte; in molti casi i fornitori di servizi stabiliscono servizi e contratti standard da far firmare ai titolari.

L’EDPB chiarisce che il fatto che il contratto e le sue dettagliate condizioni generali siano preparate dal fornitore di servizi invece che dal titolare, in primo luogo, non basta in sé per far concludere che il fornitore di servizi debba essere considerato come un titolare, e in secondo luogo, comporta che il titolare, nella misura in cui ha liberamente accettato le clausole contrattuali, ne assuma di conseguenza la piena responsabilità.

Nello stesso spirito, lo squilibrio fra il potere contrattuale di un piccolo titolare del trattamento rispetto a un grosso fornitore di servizi non può giustificare il fatto che il primo accetti clausole e condizioni non conformi alla normativa sulla protezione dei dati.

Un responsabile del trattamento viola il GDPR se va oltre le istruzioni del titolare del trattamento e inizia a determinare le proprie finalità e le proprie modalità di trattamento. Il responsabile del trattamento sarà quindi considerato in questo scenario un titolare del trattamento.

Non sempre il soggetto che fornisce un servizio deve essere considerato un responsabile.

Definizione del ruolo di responsabile del trattamento: alcuni esempi

Analizziamo gli esempi forniti dall’EDPB per la corretta definizione del ruolo di responsabile del trattamento dati.

  1. Taxi. Un servizio taxi offre una piattaforma online che permette alle aziende di prenotare un taxi per il trasporto dei dipendenti o ospiti da e per l’aeroporto. Al momento della prenotazione di un taxi, la Società ABC comunica il nome del dipendente che deve essere prelevato dall’aeroporto in modo che il conducente può confermare l’identità del dipendente al momento del pick-up. In questo caso, la società che fornisce il servizio di taxi tratta i dati personali dei dati dei dipendenti come parte del suo servizio, ma il trattamento in quanto tale non è l’obiettivo del servizio di trasporto, che svolge senza alcuna istruzioni da parte della società ABC. Il servizio taxi determina anche in modo indipendente le categorie di dati che raccoglie e per quanto tempo li conserva, agisce quindi come titolare, seppure il trattamento avvenga a seguito di una richiesta di servizio da parte della società ABC. Il Responsabile ben può offrire un servizio già definito, ma il titolare del trattamento deve prendere la decisione finale di approvare attivamente le modalità di svolgimento del trattamento e/o essere in grado di richiedere modifiche, se necessarie.
  2. Cloud service provider. Un comune ha deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nella sua scuola e dei servizi educativi. Il servizio cloud fornisce servizi di messaggistica, videoconferenze, conservazione dei documenti, gestione dei calendari, ecc. e comporta il trattamento di dati personali di scolari e insegnanti. Il fornitore di servizi cloud ha offerto un servizio standardizzato che viene offerto in tutto il mondo. Il comune, tuttavia, deve assicurarsi che l’accordo in vigore sia conforme all’articolo 28(3) del GDPR e che i dati personali siano trattati solo per le finalità del Comune. Deve anche assicurarsi che il service provider rispetti le specifiche istruzioni impartite sui periodi di conservazione, la cancellazione dei dati e via dicendo.

Le definizioni di destinatario e terzi

Le Linee Guida si soffermano anche sulle definizioni di “destinatario” e “terzi”, cui il Regolamento non attribuisce obblighi o responsabilità specifici.

Questi possono essere concetti relativi, nel senso che descrivono una relazione con un titolare o responsabile, ad es. il titolare del trattamento o il responsabile del trattamento comunica i dati a un destinatario.

  1. Servizi di pulizia. La società A conclude un contratto con una società di servizi di pulizia per pulire i suoi uffici. Gli addetti alle pulizie non dovrebbero accedere ai dati personali né trattarli in alcun modo. Nonostante possano occasionalmente accedere a tali dati quando si spostano negli uffici, possono svolgere il loro compito senza accedere ai dati e contrattualmente è vietato loro l’accesso e il trattamento di dati personali che Società A detiene come titolare del trattamento. Le persone addette al servizio non sono dipendenti della società A né sono considerati sotto la diretta autorità. L’impresa di pulizia e i suoi dipendenti devono pertanto essere considerati come un terzo e il titolare dovrà assicurare l’adozione di misure adeguata ad impedire che abbiano accesso ai dati, prevedendo un obbligo di riservatezza per il caso in cui dovessero accidentalmente imbattersi in dati personali.

Rapporto tra titolare e responsabile

L’art. 28 GDPR impone al titolare di ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

Per effettuare questa valutazioni le linee guida individuano tra i parametri la valutazione delle conoscenze specifiche da parte del fornitore (ad es. con riguardo alle misure tecniche e alla gestione dei data breach), l’affidabilità del fornitore, le sue risorse e l’eventuale aderenza a codici di condotta e meccanismi di certificazione.

Tutti i trattamenti devono essere regolati dal un contratto o da un atto che abbia potere di vincolare le parti secondo la normativa dello Stato Membro e deve rivestire forma scritta, anche in formato elettronico.

I responsabili possono scegliere di negoziare ogni singola clausola oppure di utilizzare, in tutto o in parte, delle clausole contrattuali standard, ciò che rileva è che includano gli elementi richiesti dall’art. 28 GDPR, ma evitando di riportare pedissequamente il dettato normativo, quanto piuttosto includendo informazioni specifiche e concrete su come i requisiti richiesti dall’art. 28 sono rispettati, nonché il livello di sicurezza richiesto per lo specifico trattamento di dati personali oggetto del contratto.

Rapporto tra contitolari

I contitolari determinano e concordano in modo trasparente le rispettive responsabilità in merito al rispetto degli obblighi previsti dal GDPR.

La determinazione delle rispettive responsabilità devono riguardare in particolare l’esercizio dei diritti degli interessati e gli obblighi di fornire informazioni, ai sensi degli articoli 13 e 14.

Oltre a ciò, la ripartizione delle responsabilità dovrebbe riguardare altri obblighi quali il rispetto dei principi generali di protezione dei dati, le basi giuridiche, le misure di sicurezza, gli obblighi di notifica in caso di data breach, la valutazione dell’impatto, il ricorso a responsabili del trattamento, i trasferimenti dei dati in paesi terzi e le comunicazioni con gli interessati e le autorità di controllo.

La forma giuridica dell’accordo tra contitolari non è specificata dal GDPR. L’EDPB, per garantire la certezza del diritto, nonché la trasparenza e l’accountability, raccomanda che tale accordo sia stipulato sotto forma di atto vincolante ai sensi del diritto UE o dello Stato Membro, sia esso un contratto o altro atto giuridico.

L’accordo riflette i ruoli e i rapporti tra contitolari con gli interessati e il suo contenuto è messo a disposizione dell’interessato, nelle modalità che i contitolari riterranno maggiormente adeguate, non essendoci previsioni specifiche a questo riguardo; nelle linee guida sono citati a titolo di esempio l’inserimento di tale contenuto tra le informazioni ai sensi degli artt. 13 e 14 GDPR o all’interno della privacy policy, la possibilità di ottenerle formulando richiesta al DPO o al punto di contatto eventualmente designato).

Come disciplina l’art. 26 GDPR, indipendentemente dalle disposizioni dell’accordo di contitolarità, l’interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento, non essendo tale accordo vincolante per l’interessato, così come non risulta vincolante nei confronti dell’Autorità di controllo.

Ogni titolare ha il dovere di garantire di disporre di una base giuridica per il trattamento e che i dati non saranno successivamente trattati in modo incompatibile con le finalità per le quali sono stati raccolti.

In fondo al documento si trova un diagramma di flusso, nel quale vengono schematizzati diversi orientamenti di natura pratica.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5