Articoli

Il Comitato europeo per la protezione dei dati fornisce nuove linee guida sui concetti di titolare e responsabile del trattamento

Il 2 settembre scorso, il Comitato europeo per la protezione dei dati ha emanato le Guidelines n. 7/2020 sui concetti di titolare del trattamento e responsabile del trattamento al fine di aggiornare e superare l’Opinion n. 1/2010 del Working Party 29 e di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui tali definizioni. Il documento si presta anche a riflessioni sulle conseguenze connesse alla scelta dei ruoli della privacy.
 
Premessa

Le Linee guida sui concetti di titolare del trattamento e responsabile del trattamento (nel seguito “Linee guida”), adottate in data 2 settembre 2020, sostituiscono, dopo ben dieci anni comprensivi dall’emanazione del nuovo corpus normativo, l’Opinion n. 1 del Working Party 29 (“WP29”) sugli stessi temi risalente al febbraio 2010.

La predisposizione ed adozione del documento in esame risponde all’esigenza percepita dalle autorità indipendenti nazionali e dallo stesso Comitato europeo di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui concetti di titolare e responsabile del trattamento. L’occasione ha consentito, poi, al Comitato di pronunciarsi anche in relazione agli aspetti ancora poco limpidi del rapporto di contitolarità, disciplinato dall’art. 26 del Regolamento, dunque sugli obblighi del responsabile del trattamento, fissati, in particolare, dall’art. 28 GDPR. Le Linee guida sono attualmente oggetto di consultazione pubblica.

Sul loro contenuto, occorre precisare in premessa come il documento si articoli in due sezioni principali, rispettivamente sugli elementi costitutivi le singole definizioni di titolare, responsabile e contitolari del trattamento e sulle principali conseguenze connesse a detti ruoli.

Nel seguito ci si soffermerà sui chiarimenti offerti sui ruoli privacy, facendo breve menzione degli aspetti salienti delle conseguenze ad essi connesse.

Le definizioni

Partendo dal ruolo del titolare del trattamento, il Comitato, ha fornito specifici chiarimenti sui suoi elementi costitutivi, prendendo le mosse dal disposto dell’art. 4 n. 7 del GDPR.

In particolare, la definizione di titolare è costituita da cinque “momenti” principali: i) “la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo“, ii) “determina“, iii) “da sola o congiuntamente ad altri“, iv) “le finalità e i mezzi“, v) “del trattamento dei dati personali“.

Con la prima locuzione, chiarisce il Comitato, il legislatore ha inteso non prevedere alcuna limitazione alla tipologia di entità potenzialmente in grado di assumere il ruolo di titolare del trattamento. Titolare potrà dunque essere indistintamente la singola persona fisica, l’associazione di persone o la persona giuridica, senza confondere il caso in cui nell’organigramma aziendale venga individuata la figura preposta alla gestione del trattamento, mantenendo la società di appartenenza le responsabilità ad esso connesse. Il Comitato a tal proposito cita una vicenda giunta innanzi alla Corte di Giustizia dell’Unione Europea, ove una intera comunità religiosa veniva ritenuta, insieme ai propri fedeli, titolare del trattamento (C-25/17, “Jehovah’s witnesses”).

Il secondo elemento costitutivo del concetto di titolare, ovvero il verbo “determina”, si riferisce all’ “influenza” del titolare, in virtù dell’esercizio di un potere decisionale. Per vagliare la sussistenza di tale influenza, ai fini definitori, occorre procedere con un’analisi fattuale piuttosto che formale. In particolare, secondo il Comitato, si possono distinguere due tipologie di controllo: i) controllo derivante da disposizioni di legge e ii) controllo derivante da una concreta influenza fattuale.

Mentre il terzo elemento fa riferimento all’eventualità di un rapporto di contitolarità nella determinazione di finalità e modalità del trattamento, specifica l’EDPB che la locuzione “le finalità ed i mezzi” non è scelta casuale del legislatore europeo e, di conseguenza, perché possa dirsi ricorrente il ruolo di titolare è necessario che la determinazione attenga non soltanto alle finalità ma anche alle modalità attraverso le quali il trattamento si articola.

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, suscettibili di essere definiti anche dal  responsabile del trattamento.

Infine, sul ruolo del titolare, è necessario dare applicazione ai predetti parametri tenendo conto del solo trattamento di dati personali, non rilevando il controllo, l’influenza o il ruolo decisorio dell’entità in altri contesti organizzativi, seppur connessi al trattamento stesso. Allo stesso tempo, il ruolo di titolare potrebbe essere differentemente assegnato tenuto conto del trattamento nel suo complesso o considerate le singole attività che ne fanno parte.

La novità delle Linee guida rispetto all’antecedente Opinion riguarda i chiarimenti resi in relazione alla contitolarità del trattamento, scenario enucleato dall’art. 26 del Regolamento, per cui è stata disposta apposita disciplina.  

La contitolarità può assumere la forma di una comune decisione presa da due o più entità o del risultato di decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

Le decisioni possono essere considerate convergenti su finalità e mezzi se sono complementari e necessarie per il trattamento, in modo tale da avere un impatto tangibile sulla determinazione degli scopi e dell’elaborazione. Per identificare le decisioni convergenti in questo contesto è necessario chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere da ciascuna parte sia inseparabile, cioè indissolubilmente legato al trattamento dell’altra parte.

Da tenere distinta l’ipotesi di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità).

Con riguardo alla figura del responsabile del trattamento, il Comitato ha indicato due condizioni di base per la ricorrenza della sua qualifica:

            a) essere un’entità separata dal titolare del trattamento;

            b) svolgere il trattamento dei dati personali per conto del titolare.

Per quanto concerne la prima delle due condizioni, il Comitato chiarisce che il responsabile può essere definito per esclusione dal momento che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.

Il trattamento deve poi essere svolto a beneficio del titolare del trattamento: il responsabile deve “servire” l’interesse del titolare, ricorrendo lo schema della delega di funzioni.

Fatte queste premesse, le Linee guida precisano che il ruolo del responsabile deriva dalle sue attività concrete, tenuto conto di uno specifico contesto. Qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe trovarsi nella posizione di determinare autonomamente le finalità e i mezzi di tale trattamento, potendo dunque essere considerato titolare autonomo del trattamento (l’esempio è qui quello della piattaforma per servizi di transfert di cui si serve l’azienda per garantire gli spostamenti sul territorio dei propri dipendenti e collaboratori).

Nelle ipotesi in cui il trattamento dei dati non sia strettamente connesso al servizio, in ogni caso, le Linee guida suggeriscono ai titolari di tenere in debita considerazione il potere di controllo concretamente esercitato, tenendo conto anche della natura, dell’ambito, del contesto e delle finalità del trattamento.

Conseguenze dell’attribuzione dei differenti ruoli

La seconda parte delle Linee guida verte sugli adempimenti previsti e connessi a seguito della definizione dei ruoli della privacy. Senza dilungarsi sulla nota disciplina normativa dell’accordo di nomina a responsabile e del contratto di contitolarità, si riportano nel seguito gli aspetti salienti delle riflessioni da ultimo svolte dal Comitato.

Con riferimento alla nomina del responsabile esterno, il Comitato, rammentando come il titolare abbia il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per implementare misure tecniche e organizzative adeguate, equipara tale verifica preliminare ad una vera e propria valutazione del rischio, durante la quale il titolare è tenuto a prendere in considerazione i) le conoscenze specialistiche del processore (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati), ii) l’affidabilità del fornitore e iii) le risorse in suo possesso. Anche la reputazione del responsabile sul mercato può essere, a dire del Comitato, un fattore rilevante ai fini della valutazione.

Di più: il Comitato precisa che l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, con la conseguenza che il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del data processing agreement, anche mediante apposite ispezioni presso il responsabile.

Sulla forma dell’atto o contratto di designazione del responsabile del trattamento rileva quanto affermato con riferimento ai contratti predisposti unilateralmente.

In particolare, quale o quali parti redigeranno il contratto può dipendere da diversi fattori, tra cui la posizione delle parti sul mercato e il potere contrattuale, la loro competenza tecnica, nonché l’accesso ai servizi legali, o anche la prassi del ricorso a termini e condizioni standard, ma lo squilibrio del potere contrattuale, afferma l’EDPB, non deve tradursi nell’automatica accettazione da parte del titolare di clausole e termini contrattuali non conformi alla normativa, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Inoltre, qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere direttamente notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via mail sostituirne l’informazione e l’approvazione.

Quanto al contenuto dell’atto o contratto di nomina del responsabile, è interessante riportare quanto osservato in relazione alla previsione di cui al paragrafo 2 dell’art. 28 GDPR, a mente del quale il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Osserva il Comitato che il mancato riscontro entro il periodo di tempo previsto per l’approvazione viene in alcuni casi interpretato come implicita autorizzazione. In realtà, e con riferimento ad entrambi gli scenari della specifica o generale autorizzazione, il contratto dovrebbe includere i dettagli relativi alle modalità di comunicazione dell’approvazione/obiezione, nonché disciplinarne l’eventualità del ritardo.

Infine, il riferimento della norma all’imposizione degli “stessi” obblighi del responsabile anche al sub-responsabile nominato dovrebbe essere interpretato in modo funzionale piuttosto che formale: afferma il Comitato che non è necessario che il contratto contenga esattamente le stesse parole usate nel contratto tra titolare e responsabile, essendo sufficiente che sul piano fattuale vengano garantiti gli stessi obblighi.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

Rapporto “Agente” – “Procacciatori”: titolari o responsabili? Il Garante sanziona un’agenzia operante per conto di Wind Tre s.p.a.

Con provvedimento del luglio scorso, il Garante Privacy ha comminato una sanzione pari all’1% della sanzione massima edittale nei confronti della società Merlini s.r.l. – agenzia che svolge attività di commercializzazione dei prodotti di Wind Tre s.p.a. – constatando una pluralità di violazioni nel trattamento dei dati personali, derivanti, in particolar modo, da una serie di irregolarità nel rapporto tra agente e relativi procacciatori.

I fatti

L’indagine del Garante per la protezione dei dati personali (“Garante”) si è inizialmente focalizzata su un call center che, tramite il contatto di potenziale clientela, offriva i servizi telefonici della società Wind Tre s.p.a. (“Wind Tre”). A seguito delle espletate verifiche, emergeva come tali attività facessero capo alla società “Alessandro Corbelli Sunrise s.r.l.s.” e, con specifico riferimento alle correlate operazioni di trattamento sui dati personali, si appurava:

  1. l’impossibilità di dimostrare l’origine dei dati degli utenti contattati;
  2. l’inottemperanza alle procedure implementate da Wind Tre per le attività di telemarketing e teleselling;
  3. l’assenza di fornitura di un’adeguata informativa ai sensi dell’art. 14 GDPR nel contesto della telefonata.

Tali manifeste irregolarità inducevano ad un ulteriore approfondimento dal quale emergeva “un significativo legame operativo” tra la predetta società di call center e la “Merlini s.r.l.” (in seguito, “Merlini”). In particolare quest’ultima, a fronte di un regolare contratto di agenzia (comprensivo sia della designazione a responsabile del trattamento che delle relative istruzioni), svolgeva attività di commercializzazione dei prodotti di Wind Tre, a tal fine avvalendosi di alcuni procacciatori dislocati sul territorio nazionale, tra cui figurava la summenzionata Alessandro Corbelli Sunrise s.r.l.s.

I principi desumibili dal provvedimento

Messe in luce le dinamiche alle base dei rapporti tra i soggetti coinvolti nel provvedimento in esame, il Garante ha avuto modo di verificare – e, per l’effetto, tacciare di illiceità – come risultasse mancante una qualunque forma scritta d’accordo – ivi includendosi anche una designazione in ambito privacy – tra Merlini e i cd. “procacciatori”.

Da tale sostanziale premessa ne discendeva una violazione dell’art. 28 GDPR (per aver fatto ricorso ai procacciatori in relazione ad attività di trattamento di dati personali di titolarità di Wind Tre senza che quest’ultima ne fosse informata e, ancora, per non aver posto in capo ai procacciatori i medesimi obblighi in materia di protezione dei dati personali che Merlini aveva nei confronti di Wind Tre) e dell’art. 29 GDPR (per aver consentito che i predetti trattamenti fossero svolti da soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni).

Sul punto il Garante non ha accolto la difesa di Merlini, a mente della quale il procacciatore sarebbe da ritenersi quale autonomo titolare, operando sul mercato come libero professionista in ricerca di potenziali clienti. Il Garante, infatti, riteneva che tale argomentazione dovesse soccombere dinanzi alla sussistenza di elementi oggettivamente contrastanti quali la spendita del nome del titolare da parte del call center, nonché l’accesso da parte di quest’ultimo a dati di titolarità di Wind Tre mediante utilizzo di credenziali che dovevano rimanere nell’esclusiva disponibilità di Merlini.

A tanto si aggiunga che, in base a quanto stabilito dall’art. 1, comma 11, della Legge n. 5/2018, Merlini fosse da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise s.r.l.s. in violazione delle disposizioni della predetta legge.

Alla luce di quanto sopra, il Garante Privacy ingiungeva a Merlini di porre rimedio alla descritta situazione di illiceità nei riguardi dei procacciatori e, tra le alte misure imposte, prevedeva altresì il pagamento della somma di euro 200.000,00 a titolo di sanzione amministrativa per le irregolarità complessivamente riscontrate, pari all’1% della sanzione massima edittale.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo