Articoli

Il Comitato europeo per la protezione dei dati fornisce nuove linee guida sui concetti di titolare e responsabile del trattamento

Il 2 settembre scorso, il Comitato europeo per la protezione dei dati ha emanato le Guidelines n. 7/2020 sui concetti di titolare del trattamento e responsabile del trattamento al fine di aggiornare e superare l’Opinion n. 1/2010 del Working Party 29 e di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui tali definizioni. Il documento si presta anche a riflessioni sulle conseguenze connesse alla scelta dei ruoli della privacy.
 
Premessa

Le Linee guida sui concetti di titolare del trattamento e responsabile del trattamento (nel seguito “Linee guida”), adottate in data 2 settembre 2020, sostituiscono, dopo ben dieci anni comprensivi dall’emanazione del nuovo corpus normativo, l’Opinion n. 1 del Working Party 29 (“WP29”) sugli stessi temi risalente al febbraio 2010.

La predisposizione ed adozione del documento in esame risponde all’esigenza percepita dalle autorità indipendenti nazionali e dallo stesso Comitato europeo di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui concetti di titolare e responsabile del trattamento. L’occasione ha consentito, poi, al Comitato di pronunciarsi anche in relazione agli aspetti ancora poco limpidi del rapporto di contitolarità, disciplinato dall’art. 26 del Regolamento, dunque sugli obblighi del responsabile del trattamento, fissati, in particolare, dall’art. 28 GDPR. Le Linee guida sono attualmente oggetto di consultazione pubblica.

Sul loro contenuto, occorre precisare in premessa come il documento si articoli in due sezioni principali, rispettivamente sugli elementi costitutivi le singole definizioni di titolare, responsabile e contitolari del trattamento e sulle principali conseguenze connesse a detti ruoli.

Nel seguito ci si soffermerà sui chiarimenti offerti sui ruoli privacy, facendo breve menzione degli aspetti salienti delle conseguenze ad essi connesse.

Le definizioni

Partendo dal ruolo del titolare del trattamento, il Comitato, ha fornito specifici chiarimenti sui suoi elementi costitutivi, prendendo le mosse dal disposto dell’art. 4 n. 7 del GDPR.

In particolare, la definizione di titolare è costituita da cinque “momenti” principali: i) “la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo“, ii) “determina“, iii) “da sola o congiuntamente ad altri“, iv) “le finalità e i mezzi“, v) “del trattamento dei dati personali“.

Con la prima locuzione, chiarisce il Comitato, il legislatore ha inteso non prevedere alcuna limitazione alla tipologia di entità potenzialmente in grado di assumere il ruolo di titolare del trattamento. Titolare potrà dunque essere indistintamente la singola persona fisica, l’associazione di persone o la persona giuridica, senza confondere il caso in cui nell’organigramma aziendale venga individuata la figura preposta alla gestione del trattamento, mantenendo la società di appartenenza le responsabilità ad esso connesse. Il Comitato a tal proposito cita una vicenda giunta innanzi alla Corte di Giustizia dell’Unione Europea, ove una intera comunità religiosa veniva ritenuta, insieme ai propri fedeli, titolare del trattamento (C-25/17, “Jehovah’s witnesses”).

Il secondo elemento costitutivo del concetto di titolare, ovvero il verbo “determina”, si riferisce all’ “influenza” del titolare, in virtù dell’esercizio di un potere decisionale. Per vagliare la sussistenza di tale influenza, ai fini definitori, occorre procedere con un’analisi fattuale piuttosto che formale. In particolare, secondo il Comitato, si possono distinguere due tipologie di controllo: i) controllo derivante da disposizioni di legge e ii) controllo derivante da una concreta influenza fattuale.

Mentre il terzo elemento fa riferimento all’eventualità di un rapporto di contitolarità nella determinazione di finalità e modalità del trattamento, specifica l’EDPB che la locuzione “le finalità ed i mezzi” non è scelta casuale del legislatore europeo e, di conseguenza, perché possa dirsi ricorrente il ruolo di titolare è necessario che la determinazione attenga non soltanto alle finalità ma anche alle modalità attraverso le quali il trattamento si articola.

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, suscettibili di essere definiti anche dal  responsabile del trattamento.

Infine, sul ruolo del titolare, è necessario dare applicazione ai predetti parametri tenendo conto del solo trattamento di dati personali, non rilevando il controllo, l’influenza o il ruolo decisorio dell’entità in altri contesti organizzativi, seppur connessi al trattamento stesso. Allo stesso tempo, il ruolo di titolare potrebbe essere differentemente assegnato tenuto conto del trattamento nel suo complesso o considerate le singole attività che ne fanno parte.

La novità delle Linee guida rispetto all’antecedente Opinion riguarda i chiarimenti resi in relazione alla contitolarità del trattamento, scenario enucleato dall’art. 26 del Regolamento, per cui è stata disposta apposita disciplina.  

La contitolarità può assumere la forma di una comune decisione presa da due o più entità o del risultato di decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

Le decisioni possono essere considerate convergenti su finalità e mezzi se sono complementari e necessarie per il trattamento, in modo tale da avere un impatto tangibile sulla determinazione degli scopi e dell’elaborazione. Per identificare le decisioni convergenti in questo contesto è necessario chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere da ciascuna parte sia inseparabile, cioè indissolubilmente legato al trattamento dell’altra parte.

Da tenere distinta l’ipotesi di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità).

Con riguardo alla figura del responsabile del trattamento, il Comitato ha indicato due condizioni di base per la ricorrenza della sua qualifica:

            a) essere un’entità separata dal titolare del trattamento;

            b) svolgere il trattamento dei dati personali per conto del titolare.

Per quanto concerne la prima delle due condizioni, il Comitato chiarisce che il responsabile può essere definito per esclusione dal momento che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.

Il trattamento deve poi essere svolto a beneficio del titolare del trattamento: il responsabile deve “servire” l’interesse del titolare, ricorrendo lo schema della delega di funzioni.

Fatte queste premesse, le Linee guida precisano che il ruolo del responsabile deriva dalle sue attività concrete, tenuto conto di uno specifico contesto. Qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe trovarsi nella posizione di determinare autonomamente le finalità e i mezzi di tale trattamento, potendo dunque essere considerato titolare autonomo del trattamento (l’esempio è qui quello della piattaforma per servizi di transfert di cui si serve l’azienda per garantire gli spostamenti sul territorio dei propri dipendenti e collaboratori).

Nelle ipotesi in cui il trattamento dei dati non sia strettamente connesso al servizio, in ogni caso, le Linee guida suggeriscono ai titolari di tenere in debita considerazione il potere di controllo concretamente esercitato, tenendo conto anche della natura, dell’ambito, del contesto e delle finalità del trattamento.

Conseguenze dell’attribuzione dei differenti ruoli

La seconda parte delle Linee guida verte sugli adempimenti previsti e connessi a seguito della definizione dei ruoli della privacy. Senza dilungarsi sulla nota disciplina normativa dell’accordo di nomina a responsabile e del contratto di contitolarità, si riportano nel seguito gli aspetti salienti delle riflessioni da ultimo svolte dal Comitato.

Con riferimento alla nomina del responsabile esterno, il Comitato, rammentando come il titolare abbia il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per implementare misure tecniche e organizzative adeguate, equipara tale verifica preliminare ad una vera e propria valutazione del rischio, durante la quale il titolare è tenuto a prendere in considerazione i) le conoscenze specialistiche del processore (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati), ii) l’affidabilità del fornitore e iii) le risorse in suo possesso. Anche la reputazione del responsabile sul mercato può essere, a dire del Comitato, un fattore rilevante ai fini della valutazione.

Di più: il Comitato precisa che l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, con la conseguenza che il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del data processing agreement, anche mediante apposite ispezioni presso il responsabile.

Sulla forma dell’atto o contratto di designazione del responsabile del trattamento rileva quanto affermato con riferimento ai contratti predisposti unilateralmente.

In particolare, quale o quali parti redigeranno il contratto può dipendere da diversi fattori, tra cui la posizione delle parti sul mercato e il potere contrattuale, la loro competenza tecnica, nonché l’accesso ai servizi legali, o anche la prassi del ricorso a termini e condizioni standard, ma lo squilibrio del potere contrattuale, afferma l’EDPB, non deve tradursi nell’automatica accettazione da parte del titolare di clausole e termini contrattuali non conformi alla normativa, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Inoltre, qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere direttamente notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via mail sostituirne l’informazione e l’approvazione.

Quanto al contenuto dell’atto o contratto di nomina del responsabile, è interessante riportare quanto osservato in relazione alla previsione di cui al paragrafo 2 dell’art. 28 GDPR, a mente del quale il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Osserva il Comitato che il mancato riscontro entro il periodo di tempo previsto per l’approvazione viene in alcuni casi interpretato come implicita autorizzazione. In realtà, e con riferimento ad entrambi gli scenari della specifica o generale autorizzazione, il contratto dovrebbe includere i dettagli relativi alle modalità di comunicazione dell’approvazione/obiezione, nonché disciplinarne l’eventualità del ritardo.

Infine, il riferimento della norma all’imposizione degli “stessi” obblighi del responsabile anche al sub-responsabile nominato dovrebbe essere interpretato in modo funzionale piuttosto che formale: afferma il Comitato che non è necessario che il contratto contenga esattamente le stesse parole usate nel contratto tra titolare e responsabile, essendo sufficiente che sul piano fattuale vengano garantiti gli stessi obblighi.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

L’EDPB si pronuncia sulle possibili limitazioni ai diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri e sul principio di proporzionalità in occasione del bilanciamento tra interessi contrapposti ed ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.
 
I diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri, rispondendo alla lettera indirizzata dalle organizzazioni Unione per le libertà civili per l’Europa, Access Now ed Unione ungherese per le libertà civili (HCLU).

Con la loro lettera, le organizzazioni hanno invitato il Comitato a pronunciarsi sul decreto del governo ungherese del 4 maggio scorso che ha limitato l’esercizio dei diritti previsti dagli artt. 15 ss. del GDPR in occasione dei trattamenti di dati personali posti in essere da parte di enti pubblici e privati ai fini della lotta alla diffusione del  COVID-19.

I chiarimenti dell’EDPB

L’EDPB ha chiarito che la protezione dei dati personali deve essere sempre garantita anche in occasione dell’adozione di misure di emergenza, contribuendo così al rispetto dei valori generali della democrazia, dello Stato di diritto e dei diritti fondamentali su cui si fonda l’Unione europea.

In particolare, viene chiarito che il GDPR, con le sue previsioni, consente già di strutturare una risposta efficace alla pandemia, anche mediante il trattamento dei dati personali. L’articolo 23 consente di limitare, mediante una misura legislativa, la portata dei diritti degli interessati purché nel rispetto dei diritti e delle libertà fondamentali ed in una misura necessaria e proporzionata. Con l’occasione, l’EDPB ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.

Avv. Chiara Benvenuto

Cookie & scrolling: arriva la fine dell’ idillio?

Il Comitato Europeo per la Protezione dei Dati ha fornito indicazioni specifiche volte a regolamentare il complesso rapporto tra il mondo dei cookie ed il relativo libero consenso degli utenti del web.

L’European Data Protection Board (EDPB) ha adottato il 4.5.2020 delle nuove linee guida in materia di consenso al trattamento di dati personali, evidenziando la necessità di fornire ulteriori chiarimenti in merito al tema dei cookie, in particolare dei c.d. “cookie wall” e del rapporto tra “scrolling” e acquisizione del consenso.

Con riferimento al primo punto, l’EDPB ha chiarito come risulti contrario ai principi del GDPR condizionare l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”. Tali “muri” impedirebbero l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati. In particolare, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, impedendo dunque di accedere al sito senza fornire tale accettazione.

Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha chiarito come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato. Azioni come lo scrolling di una pagina web non soddisferanno in nessun caso, quindi, la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso. Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Il Comitato europeo per la protezione dei dati modifica e COVID-19: in arrivo le Linee Guida

Avv. Vincenzo Colarocco

Il Comitato europeo per la protezione dei dati, con comunicato del 3 aprile 2020, ha annunciato l’inizio dei lavori per la predisposzione delle linee guida sui seguenti temi:

  1. i) uso dei dati di localizzazione e anonimizzazione dei dati;
  2. ii) trattamento dei dati sanitari per scopi scientifici e di ricerca e trattamento dei dati in occasione dello smart working. Le linee guida si propongono, tra le altre cose, di uniformare i trattamenti posti in essere in Europa, anche sotto gli aspetti delle basi giuridiche e dei principi applicabili.

In ragione di ciò durante la ventesima sessione plenaria del 7 aprile u.s., il Comitato ha assegnato ai suoi sottogruppi di esperti due mandati per l’elaborazione di orientamenti e linee guida in materia di:

  1. geolocalizzazione e altri strumenti di tracciamento nel contesto dell’epidemia COVID-19;

2. elaborazione di dati sanitari a fini di ricerca nel contesto dell’epidemia COVID-19.

Veicoli connessi e dati personali: i paletti del Comitato europeo per la protezione dei dati

Avv. Vincenzo Colarocco

La sempre maggiore invasività del trattamento dei dati personali effettuato attraverso i veicoli di ultima generazione, ha spinto l’European Data Protection Board (EDPB) a pubblicare delle Linee Guida destinate agli addetti ai lavori.

L’obiettivo è quello di assicurare il rispetto dei diritti degli interessati in relazione al trattamento, in particolare, dei dati biometrici, dei dati di geolocalizzazione e di quelli suscettibili di rivelare infrazioni del Codice della Strada.

Il testo delle Linee Guida, evidenziando le principali criticità e best practices consigliabili nella prassi. Per consultare l’articolo completo, clicca qui.

Il comitato europeo per la protezione dei dati personali avvia la consultazione pubblica sulle Linee guida in materia di codici di condotta

Avv. Vincenzo Colarocco

Il 12 febbraio 2019, il Comitato Europeo per la protezione dei dati personali ha sottoposto a consultazione pubblica le Linee Guida redatte in materia di codici di condotta. Queste mirano a fornire orientamenti pratici e supporto interpretativo rispetto all’applicazione degli articoli 40 e 41 del Regolamento generale sulla protezione dei dati. In questo senso, le Linee Guida andranno lette in combinato disposto con le procedure e le norme relative alla presentazione, all’approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo.