Il 2 settembre scorso, il Comitato europeo per la protezione dei dati ha emanato le Linee Guida n. 7/2020 sui concetti di titolare del trattamento e responsabile del trattamento al fine di aggiornare e superare l'Opinione n. 1/2010 del Working Party 29 e di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, su tali definizioni. Il documento si presta anche a riflessioni sulle conseguenze legate alla scelta dei ruoli della privacy.
Premessa
Le Linee guida sui concetti di titolare del trattamento e responsabile del trattamento (nel seguito “Linee guida”), adottate in data 2 settembre 2020, sostituiscono , dopo ben dieci anni comprensivi dall'emanazione del nuovo corpus normativo, l' Opinion n. 1 del Working Party 29 (“WP29”) sugli stessi temi risalente al febbraio 2010 .
La preparazione ed adozione del documento in esame risponde all'esigenza percepita dalle autorità indipendenti nazionali e dallo stesso Comitato europeo di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui concetti di titolare e responsabile del trattamento . L'occasione ha consentito, poi, al Comitato di pronunciarsi anche in relazione agli aspetti ancora poco limpidi del rapporto di contitolarità , disciplinato dall'art. 26 del Regolamento, dunque sugli obblighi del responsabile del trattamento, fissati, in particolare, dall'art. 28 del RGPD. Le Linee guida sono attualmente oggetto di consultazione pubblica.
Sul loro contenuto, occorre precisare in premessa come il documento si articoli in due sezioni principali, rispettivamente sugli elementi costitutivi le singole definizioni di titolare, responsabile e titolari del trattamento e sulle principali conseguenze connesse a detti ruoli.
Nel seguito ci si soffermerà sui chiarimenti offerti sui ruoli privacy, facendo breve menzione degli aspetti salienti delle conseguenze ad essi connesse.
Le definizioni
Partendo dal ruolo del titolare del trattamento, il Comitato, ha fornito specifici chiarimenti sui suoi elementi costitutivi, prendendo le mosse dal disposto dell'art. 4 n. 7 del GDPR.
In particolare, la definizione di titolare è costituita da cinque “momenti” principali: i) " la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo ", ii) " determina ", iii) " da sola o congiuntamente ad altri ", iv) " le finalità ei mezzi ", v) " del trattamento dei dati personali ".
Con la prima locuzione, chiarisce il Comitato, il legislatore ha inteso non prevedere alcuna limitazione alla tipologia di entità potenzialmente in grado di assumere il ruolo di titolare del trattamento. Titolare potrà dunque essere indistintamente la singola persona fisica, l'associazione di persone o la persona giuridica, senza confondere il caso in cui nell'organigramma aziendale venga individuata la figura preposta alla gestione del trattamento, mantenendo la società di appartenenza le responsabilità ad esso connessa . Il Comitato a tal proposito cita una vicenda giunta innanzi alla Corte di Giustizia dell'Unione Europea, ove una intera comunità religiosa veniva ritenuta, insieme ai propri fedeli, titolare del trattamento (C-25/17, “Testimoni di Geova” ).
Il secondo elemento costitutivo del concetto di titolare, ovvero il verbo “determina”, si riferisce all' “influenza” del titolare, in virtù dell'esercizio di un potere decisionale . Per vagliare la sussistenza di tale influenza, ai fini definitori, occorre procedere con un'analisi fattuale piuttosto che formale. In particolare, secondo il Comitato, si possono distinguere due tipologie di controllo: i) controllo derivante da disposizioni di legge e ii) controllo derivante da una concreta influenza fattuale .
Mentre il terzo elemento fa riferimento all'eventualità di un rapporto di contitolarità nella determinazione di finalità e modalità del trattamento, specifica l'EDPB che la locuzione “ le finalità ed i mezzi ” non è scelta casuale del legislatore europeo e, di conseguenza, perché possa dirsi ricorrente il ruolo di titolare è necessario che la determinazione attenga non soltanto alle finalità ma anche alle modalità attraverso le quali il trattamento si articola .
Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi si possa distinguere tra mezzi essenziali e non essenziali : per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell'attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, suscettibili di essere definite anche dal responsabile del trattamento.
Infine, sul ruolo del titolare, è necessario dare applicazione ai predetti parametri tenendo conto del solo trattamento di dati personali, non rilevando il controllo, l'influenza o il ruolo decisorio dell'entità in altri contesti organizzativi, seppur connessi al trattamento stesso. Allo stesso tempo, il ruolo di titolare potrebbe essere diversamente assegnato tenuto conto del trattamento nel suo complesso o considerando le singole attività che ne fanno parte.
La novità delle Linee guida rispetto all'antecedente Opinion riguarda i chiarimenti resi in relazione alla titolarità del trattamento, scenario enucleato dall'art. 26 del Regolamento, per cui è stata disposta apposita disciplina.
La contitolarità può assumere la forma di una comune decisione presa da due o più entità o del risultato di decisioni convergenti di due o più entità per quanto riguarda gli scopi ei mezzi essenziali del trattamento.
Le decisioni possono essere considerate convergenti su finalità e mezzi se sono complementari e necessarie per il trattamento, in modo tale da avere un impatto tangibile sulla determinazione degli scopi e dell'elaborazione. Per identificare le decisioni convergenti in questo contesto è necessario chiedersi, affermare il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere da ciascuna parte sia inseparabile, cioè indissolubilmente legato al trattamento dell'altra parte.
Da tenere distinta l'ipotesi di gestione congiunta di una piattaforma : l'utilizzo di un sistema o di un'infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come titolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l'intervento dell'altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità).
Con riguardo alla figura del responsabile del trattamento , il Comitato ha indicato due condizioni di base per la ricorrenza della sua qualifica:
a) essere un'entità separata dal titolare del trattamento ;
b) svolgere il trattamento dei dati personali per conto del titolare .
Per quanto concerne la prima delle due condizioni, il Comitato chiarisce che il responsabile può essere definito per esclusione dal momento che le risorse coinvolte nel trattamento ed appartenenti all'organizzazione del titolare coincidono con il titolare stesso , o comunque potranno essere definite quali persone autorizzate o designare.
Il trattamento deve poi essere svolto a beneficio del titolare del trattamento : il responsabile deve “servire” l'interesse del titolare , ricorrendo lo schema della delega di funzioni.
Fatte queste premesse, le Linee guida precisano che il ruolo del responsabile deriva dalle sue attività concrete , tenuto conto di uno specifico contesto. Qualora il servizio fornito dal fornitore non sia specificatamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il servizio di servizi potrebbe trovarsi nella posizione di determinare esattamente le finalità ei mezzi di tale trattamento, potendo dunque essere considerato titolare territorio autonomo del trattamento (l'esempio è qui quello della piattaforma per servizi di transfert di cui si serve l'azienda per garantire gli spostamenti sui propri dipendenti e collaboratori).
Nelle ipotesi in cui il trattamento dei dati non sia strettamente connesso al servizio, in ogni caso, le Linee guida suggeriscono ai titolari di tenere in debita considerazione il potere di controllo concretamente esercitato , tenendo conto anche della natura, dell'ambito, del contesto e delle finalità del trattamento.
Conseguenze dell'attribuzione dei diversi ruoli
La seconda parte delle Linee guida verte sugli adempimenti previsti e connessi a seguito della definizione dei ruoli della privacy. Senza dilungarsi sulla nota disciplina normativa dell'accordo di nomina a responsabile e del contratto di contitolarità, si riportano nel seguito gli aspetti salienti delle riflessioni da ultime svolte dal Comitato.
Con riferimento alla nomina del responsabile esterno, il Comitato, rammentando come il titolare abbia il dovere di far fronte solo a responsabili che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate , equipaggiando tale verifica preliminare ad una vera e propria valutazione del rischio , durante la quale il titolare è tenuto a prendere in considerazione i) le conoscenze specialistiche del processore (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati), ii) l'affidabilità del fornitore e iii) le risorse in suo possesso . Anche la reputazione del responsabile sul mercato può essere, a dire del Comitato, un fattore rilevante ai fini della valutazione.
Di più: il Comitato precisa che l'obbligo di ricorrere a responsabili "che offrano garanzie sufficienti" è un obbligo “continuo” , con la conseguenza che il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del contratto trattamento dati , anche mediante apposite ispezioni presso il responsabile.
Sulla forma dell'atto o contratto di designazione del responsabile del trattamento vale quanto affermato con riferimento ai contratti predisposti unilateralmente.
In particolare, quale o quali parti redigeranno il contratto può dipendere da diversi fattori, tra cui la posizione delle parti sul mercato e il potere contrattuale, la loro competenza tecnica, nonché l'accesso ai servizi legali, o anche la prassi del ricorso a termini e condizioni standard , ma lo squilibrio del potere contrattuale, afferma l'EDPB, non deve tradursi nell'automatica accettazione da parte del titolare di clausole e termini contrattuali non conformi alla normativa, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Inoltre, qualsiasi modifica al contratto di trattamento dei dati proposto nel corso del rapporto contrattuale deve essere notificata direttamente al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via mail sostituirne l'informazione e l'approvazione.
Quanto al contenuto dell'atto o del contratto di nomina del responsabile , è interessante riportare quanto osservato in relazione alla previsione di cui al paragrafo 2 dell'art. 28 GDPR, a mente del quale il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Osserva il Comitato che il mancato riscontro entro il periodo di tempo previsto per l'approvazione viene in alcuni casi interpretato come implicita autorizzazione . In realtà, e con riferimento ad entrambi gli scenari della specifica o autorizzazione generale, il contratto dovrebbe includere i dettagli relativi alle modalità di comunicazione dell'approvazione/obiezione, nonché disciplinarne l'eventualità del ritardo.
Infine, il riferimento della norma all'imposizione degli "stessi" obblighi del responsabile anche al sub-responsabile nominato dovrebbe essere interpretato in modo funzionale piuttosto che formale: afferma il Comitato che non è necessario che il contratto contenga esattamente le stesse parole usate nel contratto tra titolare e responsabile, essendo sufficiente che sul piano fattuale siano garantiti gli stessi obblighi.