Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Titolare, responsabile e contitolare, alla luce del Regolamento 2018/1725: ruoli e responsabilità

Le linee guida dell’European Data Protection Supervisor (EDPS) sui concetti di titolare, responsabile e contitolare ai sensi del Regolamento 2018/1725 forniscono un’utile guida alle istituzioni e agli organi dell’UE e chiariscono le responsabilità di tali attori. Concetti validi anche per l’applicazione pratica ai sensi del GDPR. Ecco tutti i dettagli

26 Nov 2019
Z
Selina Zipponi

Privacy Specialist


Di recente l’European Data Protection Supervisor (EDPS) ha emanato le Linee Guida sui concetti di titolare, responsabile e contitolare ai sensi del Regolamento (UE) 2018/1725. Il documento, datato 7 novembre 2019, ha lo scopo di fornire una guida alle istituzioni e organi dell’Unione Europea relativamente ai concetti di titolare, responsabile e contitolare del trattamento (come definiti nel Regolamento 2018/1725 sul trattamento dei dati personali da parte di tali organi), oltre che di chiarire le responsabilità di tali attori nell’adempiere al Regolamento.

Vista la corrispondenza degli elementi fondanti dei concetti di titolare, responsabile e contitolare secondo il Regolamento 2018/1725 con i medesimi concetti di cui al GDPR, le indicazioni delle linee guida appaiono utili anche per l’applicazione pratica di questi ultimi.

Di seguito si riassumono gli aspetti più rilevanti delle linee guida, tralasciando in questa sede la parte relativa agli obblighi e alle responsabilità di titolare, responsabile e contitolare, per cui si rinvia alla lettura del documento.

Il concetto di titolare del trattamento dei dati personali

Ai sensi dell’articolo 3 del Regolamento 2018/1725 titolare del trattamento è “l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Ad esclusione della prima parte della definizione, che indica il tipo di soggetti che può assumere la qualifica di titolare del trattamento, la nozione corrisponde nella sua essenza a quella dell’articolo 4 del GDPR, per cui titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Come sottolineato dallo stesso EDPS, entrambe le definizioni sono funzionali: titolare del trattamento è infatti il soggetto che decide il “cosa” ed il “come” del trattamento dei dati personali, indipendentemente dalla struttura organizzativa.

Elemento fondamentale della nozione di titolare del trattamento è il fatto di “determinare” le finalità ed i mezzi del trattamento, ovvero il fatto di esercitare su questo un controllo di fatto.

Al fine di valutarlo nella pratica, dovranno essere presi in considerazione tutti gli elementi fattuali e bisognerà verificare quanto segue: perché è in corso il trattamento dei dati personali; chi ha iniziato il trattamento; chi ne beneficia.

Il controllo sul trattamento dei dati personali può essere valutato in base ai seguenti criteri:

  1. competenza esplicitamente attribuita dalla legge: l’art. 3 del Regolamento 2018/1725 fa riferimento alla possibilità che finalità e mezzi del trattamento siano determinati “da un atto specifico dell’Unione”, e che in tal caso il titolare del trattamento o i criteri specifici applicabili alla sua designazione possano essere stabiliti dal diritto dell’Unione; parallelamente, l’art. 4 del GPPR prevede l’ipotesi in cui tali elementi siano determinati “dal diritto dell’Unione o degli Stati membri”;
  2. competenza implicita: questa ipotesi si verifica quando la legge non attribuisce ad un soggetto direttamente il ruolo di titolare del trattamento, ma gli conferisce compiti e obblighi che comportano necessariamente il trattamento di certi dati personali, sicché il ruolo di titolare del trattamento deriva dai compiti e dai doveri conferiti (si fa l’esempio dell’EMA che, pur non essendo definita come “titolare del trattamento” ha il compito per legge di gestire determinati database, con le conseguenti responsabilità in tema di trattamento di dati personali);
  3. circostanze di fatto in cui opera un soggetto: nel caso in cui non vi sia l’attribuzione della competenza per legge, né esplicitamente né implicitamente, bisognerà guardare a chi spetti la decisione sulle finalità e mezzi del trattamento (ovvero sul “perché” e sul “come” dello stesso).

Quanto all’oggetto di questa “determinazione”, non è necessario che il titolare determini in ugual modo, con lo stesso livello di dettaglio, sia finalità che mezzi del trattamento.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Le finalità del trattamento indicano il “perché” e “per cosa” di un determinato trattamento di dati personali e devono essere decise dal titolare del trattamento. Di conseguenza, il soggetto che le decide è di fatto il titolare del trattamento.

I mezzi del trattamento, invece, indicano diversi elementi, e il titolare, per essere considerato tale, deve deciderne gli aspetti essenziali, ovvero: i tipi di dati oggetto del trattamento; il periodo di conservazione; i soggetti da cui saranno raccolti; chi vi avrà accesso e a chi saranno comunicati. Altri elementi dei mezzi del trattamento, considerati però non essenziali, possono essere invece lasciati alla determinazione del responsabile del trattamento: ad esempio, sono tali il software o l’hardware utilizzato oppure le misure di sicurezza tecniche.

Le linee guida, inoltre, chiariscono un punto fondamentale, e che spesso crea dubbi nell’interprete, ovvero che per essere qualificato come titolare del trattamento, un soggetto non deve necessariamente avere accesso ai dati che ne sono oggetto: è sufficiente, infatti, che determini finalità e mezzi del trattamento, che abbia il controllo dello stesso determinandone l’inizio (e potendone determinare la cessazione), o che riceva statistiche anonime basate sui dati personali raccolti e trattati da un altro soggetto.

Infine, elemento determinante della definizione è il fatto che, tanto ai sensi dell’art 3 del Regolamento 2018/1725, quanto ai sensi dell’art. 4 del GDPR, per trattamento deve intendersi “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali (…)”: letteralmente, quindi, ogni azione (es. cancellazione, raccolta, comunicazione) rappresenta un’operazione di trattamento e ciascuna operazione (o set di operazioni che hanno la stessa finalità) può essere collegata al concetto di titolarità del trattamento.

Un soggetto potrà quindi essere titolare dell’intero trattamento di dati personali oppure solo di specifiche operazioni di trattamento. A tal proposito, viene fatto l’esempio delle diverse attività del processo di assunzione del personale (consegna badge, attribuzione delle risorse IT, pubblicazione sull’intranet ecc.), che possono essere viste o come un unico insieme di operazioni di trattamento integrate, ovvero come singole operazioni. Per valutare tale aspetto, si suggerisce di porsi nell’ottica degli interessati, al fine di verificare se il processo appare come integrato.

Il concetto di responsabile del trattamento

Il concetto di responsabile del trattamento di cui all’art. 3 del Regolamento 2018/1725 coincide con quello dell’art. 4 del GDPR: è tale la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

L’esistenza del responsabile dipende da una decisione presa dal titolare del trattamento, che può decidere di svolgere direttamente alcune operazioni di trattamento di dati personali oppure di delegare in tutto o in parte tali operazioni ad un responsabile.

Elemento fondamentale di tale nozione è il fatto di compiere le operazioni di trattamento “per conto” del titolare, servendo il suo interesse nello svolgere uno specifico compito, e seguendo le sue istruzioni, almeno per quanto riguarda finalità ed elementi essenziali dei mezzi del trattamento.

Il responsabile, comunque, non assume il ruolo di “subordinato” del titolare, in quanto può esercitare una certa autonomia nel fornire i servizi e nel decidere gli elementi non essenziali del trattamento (in particolare il responsabile potrà proporre certe misure di sicurezza e il titolare, adeguatamente informato, sceglierà se accettare tali suggerimenti e proposte).

Qualora invece il responsabile agisca oltre i confini dell’accordo con il titolare del trattamento, o decida finalità ed elementi essenziali dei mezzi del trattamento, sarà considerato automaticamente come un titolare o un contitolare. Ciò avviene, ad esempio, qualora il responsabile riutilizzi i dati personali per finalità proprie, al di la delle finalità determinate nell’accordo con il titolare.

Le linee guida sottolineano inoltre l’importanza di valutare, nella selezione, le garanzie offerte per il rispetto della normativa, e di richiederne adeguata documentazione: in particolare, potranno essere valutare le policy di sicurezza, le certificazioni, i report di audit esterni.

Infine, viene evidenziato l’obbligo del responsabile di cooperare con il titolare per garantire l’esercizio dei diritti degli interessati. In tal senso, non solo il responsabile avrà l’obbligo di fornire al titolare tutte le informazioni necessarie, ma l’accordo tra le parti potrebbe anche stabilire che il titolare trasmetta le richieste ricevute al responsabile, e che sia quest’ultimo a doverle riscontrare. Tuttavia, in tal caso, le parti dovranno accordarsi circa le modalità per soddisfare le richieste degli interessati e darne comunicazione nell’informativa.

Il concetto di contitolare del trattamento

Per quanto riguarda il contitolare del trattamento, ciò che lo contraddistingue è il fatto di “determinare congiuntamente finalità e mezzi del trattamento”. Per l’EDPS la contitolarità si configura in ogni situazione in cui ciascun titolare ha il diritto, o la possibilità, di determinare le finalità e gli elementi essenziali dei mezzi del trattamento.

In tal caso, prima di aderire all’accordo con gli altri contitolari, ciascuno ha consapevolezza di finalità e mezzi del trattamento e, aderendovi, li determina congiuntamente agli altri.

Altre indicazioni importanti fornite dall’EDPS sono le seguenti:

  1. per configurarsi una contitolarità, non è necessario che ciascuno dei contitolari acceda ai dati: il fatto che una delle parti acceda a informazioni che non si riferiscono a soggetti identificati o identificabili, o a dati resi anonimi in modo da non rendere identificabile l’interessato, non esclude la contitolarità (anche se può influire sul grado di responsabilità);
  2. spesso appare difficile distinguere l’ipotesi di contitolarità da quella di titolarità autonoma (diversi titolari possono interagire in uno stesso trattamento senza condividere finalità e mezzi del trattamento): se due soggetti non convergono su un obiettivo generale comune o non basano il trattamento su mezzi determinati insieme, allora dovranno essere considerati come titolari autonomi (ad esempio, sono titolari autonomi il soggetto che installa un impianto di videosorveglianza per finalità di sicurezza e l’autorità che, ricevute le immagini, le usi per fini investigativi);
  3. i contitolari sono obbligati a definire mediante un accordo interno le loro responsabilità (per il GDPR, ai sensi dell’art. 26) ma non è necessario che tali responsabilità siano ripartite in modo eguale;
  4. uno o entrambi i contitolari potrebbero affidare una parte del trattamento ad un responsabile: per tale ipotesi, l’accordo tra le parti potrebbe stabilire una procedura che preveda l’informazione preventiva dell’altro contitolare ed un accordo comune relativamente alla parte di trattamento da delegare ed agli aspetti essenziali del contratto con il responsabile (il contratto, poi, potrebbe comunque essere stipulato da uno solo dei contitolari);
  5. l’accordo che definisce i ruoli e le responsabilità dei contitolari non deve necessariamente essere un contratto, ma può essere definito anche in un Memorandum d’intesa o in Service Level Agreement (SAL), sempre se contenente tutti gli elementi previsti dalla normativa;
  6. per quanto riguarda le informazioni da dare agli interessati, i contitolari potrebbero concordare un testo comune di informativa e stabilire che uno solo tra di loro abbia il compito di fornirla agli interessati.

Checklist per definire il ruolo di titolare o responsabile

Per concludere, si sottolinea come le linee guida forniscano strumenti utili all’interprete in quanto, oltre alle indicazioni sopra illustrate, accompagnate da esempi e casi pratici, contengono anche due checklist volte a identificare gli elementi più significativi in base ai quali un soggetto può considerarsi titolare o responsabile del trattamento di dati personali.

In particolare, per quanto riguarda il concetto di titolare del trattamento, un’istituzione europea (e, quindi, anche una persona fisica o giuridica, autorità pubblica, servizio o altro organismo) può considerarsi titolare del trattamento se risponde affermativamente alla maggior parte delle domande indicate ovvero:

  • se ha deciso di trattare i dati personali o ha fatto in modo che un altro soggetto li trattasse;
  • se ha deciso o le finalità o i risultati del trattamento;
  • se ha determinato gli elementi essenziali dei mezzi del trattamento;
  • se gli interessati sono i suoi dipendenti;
  • se esercita un giudizio professionale sul trattamento dei dati personali;
  • se ha una relazione diretta con gli interessati;
  • se ha autonomia e indipendenza sulla modalità in cui i dati sono trattati;
  • se ha incaricato un responsabile di trattare dati personali per suo conto, anche nel caso in cui tale soggetto implementi specifiche misure di sicurezza tecniche e organizzative (elementi non essenziali dei mezzi).

Si potrà invece considerare responsabile del trattamento qualora possa rispondere affermativamente alla maggior parte delle seguenti domande:

  • se segue le istruzioni di altro soggetto con riferimento al trattamento di dati personali;
  • se non decide di raccogliere dati personali dagli individui;
  • se non determina la base giuridica per la raccolta e per l’uso dei dati;
  • se non decide le finalità per cui i dati personali sono raccolti;
  • se non ha potere di decisione sulla comunicazione dei dati;
  • se non stabilisce il periodo di conservazione dei dati;
  • se prende alcune decisioni sul trattamento, ma implementa tali decisioni nell’ambito di un contratto con il titolare del trattamento;
  • se non è interessato ai risultati del trattamento dei dati personali.
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4