GUIDA NORMATIVA

Titolare e responsabile del trattamento, una relazione complessa: le regole per formalizzarla

Dalla lettura normativa si evince che titolare e responsabile del trattamento esprimono attraverso due sostantivi un concetto unitario del trattamento stesso. L’individuazione delle due figure, però, non è sempre così netta e nella pratica può risultare di difficile interpretazione. Ecco come formalizzare la relazione

3 giorni fa
C
Erika Cavezzale

Avvocato, Consulente Privacy e DPO presso Boldrini Pesaresi Avvocati e Commercialisti Associati

Il fatto che il rapporto cliente/fornitore rappresenti nella quasi totalità dei casi un complesso incontro di interessi ed esigenze da definire e declinare in un articolato insieme di pattuizioni contrattuali è lapalissiano.

Dalle prestazioni più semplici sino a quelle più complicate non si può prescindere da una chiara ed espressa individuazione dei compiti affidati a terzi esterni.

Tale necessità è ancora più stringente laddove l’incarico abbia ad oggetto, in via principale od accessoria, il trattamento di dati personali.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Disciplina dei rapporti tra titolare e resposabile del trattamento

Sin dall’originaria entrata in vigore del D.lgs. 196/2003 – Codice Privacy le due figure di titolare e responsabile del trattamento erano individuate come essenzialmente e profondamente collegate.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data

Titolare e responsabile si atteggiavano in una relazione sui generis, sia con la definizione di cui all’art. 4:

“f) “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

g) “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”.

sia con la specifica disciplina di cui agli artt. 28 e 29:

“1. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.

“1. Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”.

Ancor di più con l’illuminata emanazione del Regolamento Europeo 679/2016 – GDPR è stata unificata a livello europeo e meglio individuata la caratterizzazione dei due soggetti ai sensi dell’art. 4, che, peraltro, nella definizione in lingua originale – Controller e Processor – meglio rende il significato rispetto alla traduzione italiana – Titolare e Responsabile – che può trarre in inganno.

7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Dunque, come a costituire un’endiadi, titolare e responsabile esprimono attraverso due sostantivi un concetto unitario del trattamento.

Le necessarie valutazioni

L’individuazione della figura non è sempre così netta e nella pratica può anche risultare di difficile interpretazione.

Di qui l’esigenza di alcuni chiarimenti forniti dall’EDPB che con le Linee Guida 7/2020, adottate il 7 luglio 2021 a seguito di consultazione pubblica, ha distinto ulteriormente i concetti di Titolare e Responsabile del trattamento ai sensi del GDPR.

Nello specifico, si chiarisce che “Quelli di titolare del trattamento e di responsabile del trattamento sono concetti funzionali: mirano a ripartire le responsabilità in funzione dei ruoli effettivamente svolti. Ciò implica che lo status giuridico di un soggetto in quanto «titolare del trattamento» o «responsabile del trattamento» deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale in quanto «titolare del trattamento» o «responsabile del trattamento» (ad esempio in un contratto). Ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile” (Parte I Paragrafo 12).

Ed ecco quindi che le valutazioni da farsi rispetto alla configurazione del rapporto prescindono dalle scelte contrattuali delle parti e vanno a poggiarsi sul piano fattuale ed effettivo del trattamento e delle dinamicche concrete in cui esso opera.

Dovendosi, poi, disciplinare i trattamenti resi da parte del Responsabile attraverso un contratto o un altro atto giuridico in forma scritta ai sensi dell’art. 28 GDPR, ci si addentra in contratti di vario tipo dalla nomina a responsabile del trattamento, a più specifici Data Processing Agreement – DPA e clasuole contrattuali tipo – SCC, da Condizioni Generali sino ad allegati tecnici e SLA.

Specifica sul punto ancora l’EDPB: “Se è vero che gli elementi di cui all’articolo 28 del regolamento ne costituiscono il contenuto essenziale, il contratto dovrebbe essere uno strumento con cui il titolare e il responsabile del trattamento possono chiarire ulteriormente in che modo detti elementi essenziali saranno attuati mediante istruzioni dettagliate. Pertanto, l’accordo relativo al trattamento dovrebbe non già meramente ribadire le disposizioni del GDPR, bensì prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo. Lungi dall’essere un esercizio formalistico, la negoziazione e la stipula del contratto sono un’opportunità per specificare i dettagli relativi al trattamento. In effetti, ai sensi del GDPR, la «protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento […] esigono una chiara ripartizione delle responsabilità»”.

Formalizzare il rapporto tra titolare e responsabile

La necessità che il rapporto tra cliente e fornitore sia formalizzato in un atto scritto che comprenda tutta una serie di clausole e pattuizioni è un principio ormai assodato e recepito.

Tuttavia, riprodurre pedissequamente le indicazioni dell’art. 28 GDPR non è sufficiente.

Del pari, ritenere configurato il rapporto di cui all’art. 28 in base a semplici automatismi ovvero, al contrario, negarlo al fine di eseguire trattamenti in autonomia in qualità di titolare, non è corretto.

Lo dimostra ancora il Garante con il parere del 17 maggio 2022 con il quale, dando conto delle valutazioni empiriche operate, specifica il ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative, collocandoli nella figura di responsabile nei confronti della compagnia assicuratrice che ne è la titolare.

Dunque, l’importanza di gestire la propria attività con attenzione alle dinamiche attinenti alla privacy è ormai indubbia, non solo con riguardo alla regolarità formale, ma anche a quella sostanziale e operativa.

Tuttavia, le annunciate complessità si traducono sul piano fattuale in relazioni controverse che possono condurre, in taluni casi a pronunce sanzionatorie del Garante, in altri anche a contenziosi di stampo civilistico.

La Cassazione già interessata sul punto ha precisato con ordinanza della Sezione I del 23/07/2021 n.21234 che “In tema di protezione dei dati personali, affinché ricorra il fatto del responsabile del trattamento, ai sensi dell’art. 4, lett. g), e del D.Lgs. n. 196 del 2003, art. 29, sia nel testo applicabile ratione temporis, anteriore alle modifiche apportate dalla L. n. 167 del 2017, che in quello modificato, in caso di preposizione di un soggetto al trattamento dei dati su incarico del titolare, è necessario che l’effettivo trattamento dei dati da parte del preposto si svolga nell’osservanza delle istruzioni impartite dal titolare, con la conseguenza che, ove non vi sia tale osservanza, il responsabile potrà essere riconosciuto come effettivo titolare, responsabile in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare”.

Del resto, nell’attuale disciplina l’art. 28 paragrafo 10 GDPR dispone testualmente: “Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”.

D’altro canto è emblematica l’ordinanza del GDPD n. 107 del 24 marzo 2022, con la quale è stato sanzionato un Responsabile del trattamento, per aver assecondato richieste di semplificazione da parte del Titolare in nome dell’operatività a discapito della sicurezza, mentre ne è andato esente il Titolare, al quale peraltro era direttamente imputabile l’incidente di sicurezza per fuoriuscita volontaria di informazioni riservate.

Ed ancora, sono significative le due ordinanze nn. 162 e 163 del 28 aprile 2022, con le quali il Garante ha sanzionato un Comune e una società partecipata, rispettivamente Titolare e Responsabile, per l’affidamento in house di servizi in assenza di una corretta disciplina del rapporto intercorso.

Inquadrare e rifinire la relazione tra i due soggetti

Tutto ciò rende ben conto di quanto debba essere inquadrata e rifinita la relazione tra i due soggetti.

Laddove, come chiarito, le qualifiche non sono negoziabili, mentre devono esserlo le caratteristiche del trattamento e le sue modalità di esecuzione.

Parafrasando la Cassazione, la “deriva patologica” incombe e vedrà come aspro campo di battaglia l’analisi dettagliata di istruzioni e direttive fornite dal titolare contro la conseguente declinazione di concreti adempimenti e rispetto dei compiti ricevuti dal responsabile.

E mentre, da un lato, le istruzioni del titolare non possono scadere nell’illegittimità pena un conflitto insanabile che può investire entrambi i soggetti.

Dall’altro, le indicazioni del responsabile circa l’utilizzo dei servizi non possono rimanere solo formali, ma devono essere integrate nell’ordinario andamento del titolare.

Ciascuna parte ha la propria funzione ed entrambe, insieme, agiscono nel reciproco interesse per una gestione conforme del servizio e nel rispetto dei diritti degli interessati.

La linea di confine può essere sottile.

L’ago della bilancia può pendere tanto da una parte quanto dall’altra in caso di soggetti, contrattualmente legati da accordi generici e privi di effettiva e concreta disciplina dei trattamenti.

Conclusioni

Va però infine osservato che se nel contenzioso verso il Garante in opposizione alle sanzioni è più complesso dimostrare l’osservanza dei rispettivi obblighi, nell’intento di evitare la pena pecuniaria, invece, nell’ambito del contenzioso civilistico inter partes potrebbe ottenersi un diverso esito ad esempio in caso di regresso.

Il GDPR, infatti, in ottica di piena tutela dispone la responsabilità solidale di titolari e responsabili non facendo distinzione nelle azioni esperibili da parte dell’interessato danneggiato, possibili tanto nei confronti dell’uno quanto nei confronti dell’altro.

Tuttavia, esso fa persistere la responsabilità solidale degli stessi nei confronti dei terzi con la possibilità ovviamente di esperire un’azione di regresso nei confronti di altri titolari o responsabili coinvolti nello stesso trattamento, per ottenere il risarcimento corrispondente alla loro parte di responsabilità in via parziaria.

Soccorrerebbe in tal caso la disciplina civilistica generale circa l’ermeneutica contrattuale di cui agli art. 1362-1371 c.c., nonché la disciplina relativa alla responsabilità solidale e al concorso del fatto colposo di cui agli artt. 1227 e 2055 c.c..

Pertanto, è bene far emergere sin dal principio della relazione i giusti quesiti e accompagnare l’origine del rapporto in un corretto e approfondito processo contrattuale, orientando anche questo aspetto interno un virtuoso percorso di privacy by design.

Ad esempio, migliorando i processi di procurement, di controllo e mantenimento della conformità, da un lato, nonché dando attuazione a politiche effettive di tutela del trattamento dei dati, dall’altro.

Anche questo fa parte del processo di crescita e sensibilizzazione digitale e privacystica: “Come raggiungere un traguardo? Senza fretta ma senza sosta” Goethe.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5