Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Accordo di contitolarità nel GDPR: il modello del Baden-Württemberg (Germania)

L’autorità garante privacy del Baden-Württemberg (Germania) ha varato un modello di accordo tra contitolari del trattamento, cercando di risolvere alcuni problemi che orbitano attorno al concetto di “responsabilità” in materia di protezione dei dati personali

03 Lug 2019

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


La responsabilizzazione[1] (o accountability) dei “soggetti attivi” del trattamento dei dati, è la colonna portante dell’impianto GDPR. A maggior ragione, determinare concretamente “chi fa cosa” e quali impatti hanno le singole scelte – e responsabilità – è di primaria importanza.

In questo alveo si colloca quel tertium genus che è la figura del Contitolare del trattamento.

Cosa dice il Gdpr

Il Considerando 79 del GDPR afferma che “La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento[2] e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento”.

Per l’art. 26 del GDPR:

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato[3], e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14[4], a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

La proposta dell’autorità privacy del Baden-Württemberg

L’accordo interno di cui all’art. 26.1 del GDPR non possiede i canoni “tipizzati” del contratto/atto vincolante dell’art. 28 del GDPR (tra Titolare e Responsabile del trattamento). Per questo motivo, da un lato l’accordo tra contitolari non soggiace alle rigidità dell’art. 28 del GDPR; dall’altro – per converso – la libertà di scelta in mano ai contitolari può portare ad accordi completamente diversi a seconda dei casi e dei soggetti.

L’autorità privacy del Baden-Württemberg[5] cerca di far luce sulla tematica, proponendo un modello “a due”, ossia cucito in maniera sartoriale su due titolari del trattamento. Per esigenze di fruibilità, il presente articolo conterà la presenza di un numero indefinito di contitolari.

Premessa, campo di applicazione e trattamento dei dati

La premessa dell’accordo – nel modello dell’autorità privacy – contiene la ragione sociale e i dati di contatto di ciascun contitolare del trattamento (di seguito anche “parte” o “parti”).

Il modello di accordo stabilisce i diritti e gli obblighi di ciascun contitolare in relazione al trattamento dei dati personali, e si applica a tutte le attività che riguardano gli autorizzati (o designati) al trattamento (Art. 2-quaterdecies del Codice Privacy), nonché ai responsabili del trattamento designati (Art. 28 del GDPR). Inoltre, le parti stabiliscono congiuntamente i mezzi e le finalità del trattamento.

L’autorità privacy del Baden-Württemberg consiglia di specificare se i dati personali siano trattati nell’ambito di un progetto o di un sistema, dettagliandone le fasi e le procedure che attengono all’alveo della contitolarità. Infatti ben potrebbe esistere ad es. una contitolarità onnicomprensiva per un intero progetto o per una sua parte. La stessa autorità specifica lapalissianaménte che lì dove le finalità e le modalità del trattamento non sono state determinate congiuntamente, ciascuna parte opera come autonomo Titolare del trattamento ai sensi dell’art. 4 n. 7) del GDPR.

A titolo informativo, per l’art. 4 n. 7) del GDPR il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Basi giuridiche e categorie di dati trattati

Nell’articolo 2 del modello di accordo, l’autorità privacy del Baden-Württemberg invita a specificare – per ciascuna parte – i sistemi, i processi e le procedure che riguardano i settori ove vige la responsabilità effettiva sul trattamento dei dati. Nel medesimo articolo si dovrà specificare la base giuridica del trattamento (Artt. 6 e 9 del GDPR), nonché le categorie di dati personali trattati da ciascun contitolare del trattamento.

Liceità del trattamento e garanzie per i diritti degli interessati

L’articolo 3 del modello di accordo specifica che ciascuna delle parti garantisce il rispetto delle disposizioni di legge, in particolare la liceità dei trattamenti di dati da essa effettuati (Art. 6 del GDPR), compresi quelli effettuati nell’ambito della responsabilità congiunta. Le stesse parti sono tenute ad adottare tutte le misure tecniche e organizzative necessarie affinché possa essere garantito l’esercizio dei diritti degli interessati (Artt. da 12 a 22 del GDPR).

Conservazione e minimizzazione dei dati

L’articolo 4 del modello di accordo – riprendendo il Considerando 68 del GDPR – determina che la conservazione dei dati personali dovrà avvenire in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Il medesimo articolo statuisce che le parti devono garantire che siano raccolti solo i dati personali strettamente necessari allo specifico trattamento, salvo gli enti pubblici, per i quali le finalità e le modalità del trattamento sono stabilite dal diritto nazionale od europeo. Inoltre, le medesime parti sono tenute a rispettare il principio della minimizzazione dei dati ai sensi dell’art. 5.1 c) del GDPR[8].

Le informazioni sul trattamento dei dati

L’articolo 5 del modello di accordo determina che le parti si debbano impegnare a fornire gratuitamente all’interessato le informazioni richieste ai sensi degli Artt. 13 e 14 del GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio chiaro e semplice.

A titolo esemplificativo i contitolari devono fornire le seguenti informazioni:

  • I dati di contatto;
  • I dati di contatto del responsabile della protezione dei dati (DPO), ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dalla parte o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l’eventuale intenzione della parte di trasferire dati personali all’estero (extra UE/SEE);
  • il periodo di conservazione dei dati personali;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca (nel caso di utilizzo di tale base giuridica);
  • il diritto di proporre reclamo a un’autorità di controllo (ad es. il Garante della Privacy);
  • se la comunicazione di dati personali è un obbligo legale o contrattuale;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione, comprese le informazioni significative sulla logica utilizzata.

I Contitolari determineranno congiuntamente quali informazioni fornire e in che modo, fatti salvi i vincoli dell’Art. 26.3 del GDPR, per il quale indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

L’esercizio dei diritti dell’interessato

Riprendendo l’articolo precedente, l’articolo 6 del modello di accordo dispone che gli interessati possono far valere l’esercizio dei loro diritti nei confronti di entrambe le parti, anche se – in linea di principio – ricevono le informazioni dal contitolare al quale è stata presentata la richiesta.

Il diritto di accesso dell’interessato

L’articolo 7 del modello di accordo disciplina il diritto di accesso dell’interessato, di cui all’Art. 15 del GDPR, per il quale l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali ed alle informazioni previste dal medesimo articolo.

L’accordo dovrà contenere l’elenco delle persone da contattare per l’esercizio dei diritti. In ogni caso, ciascun contitolare informerà l’altro in merito a qualsiasi cambiamento relativo alle persone in oggetto.

Trasmissione delle richieste e diritto alla cancellazione dei dati

L’articolo 8 del modello di accordo disciplina che qualora l’interessato si metta in contatto con uno dei contitolari per l’esercizio dei suoi diritti – in particolare per quanto riguarda i diritti di accesso, rettifica e cancellazione dei suoi dati personali – gli stessi contitolari si impegnano a trasmettere senza indugio tale richiesta all’altra parte, indipendentemente dall’obbligo di garantire il diritto dell’interessato. Quest’ultima parte è tenuta a fornire immediatamente alla parte contraente richiedente le informazioni necessarie richieste ove non in possesso dell’altra parte.

Per quanto attiene il diritto alla cancellazione dei dati (Art. 17 del GDPR), i contitolari provvedono ad informarsi reciprocamente in anticipo. L’altra parte potrà opporsi alla cancellazione per un giustificato motivo, ad esempio nel caso di obbligo legale alla conservazione dei dati.

Rettifica delle informazioni

In base all’articolo 9 del modello di accordo, le parti si informano reciprocamente e in modo completo e immediato di eventuali errori o irregolarità nelle disposizioni in materia di protezione dei dati di cui sono venute a conoscenza durante l’esame delle attività di trattamento, provvedendo alla tempestiva rettifica.

La messa a disposizione del contenuto essenziale dell’accordo agli interessati

Secondo l’art. 10 del modello di accordo, i contitolari del trattamento si impegnano a mettere a disposizione degli interessati il contenuto essenziale dell’accordo sulla responsabilità congiunta in materia di protezione dei dati (Art. 26.2 del GDPR). Per l’esame di tale documento si rinvia al punto 4 della presente trattazione.

Il data breach

Secondo l’articolo 11 del modello di accordo dell’autorità privacy del Baden-Württemberg, tutti i contitolari del trattamento – ovvero, se del caso, uno tra loro – sono responsabili degli obblighi di comunicazione e notifica derivanti dagli Artt. 33 e 34 del GDPR. Quindi si procederà come deciso dalle parti verso l’autorità di controllo (es., in Italia, il Garante della Privacy) e verso gli interessati da una violazione dei dati personali per i rispettivi ambiti di applicazione [in alternativa: tutti gli ambiti di applicazione]. In ogni caso, Le parti si informano reciprocamente e immediatamente in merito a qualsiasi violazione della protezione dei dati personali comunicati all’autorità di controllo, e si trasmettono immediatamente le informazioni necessarie per l’attuazione della notifica.

La valutazione di impatto

Secondo l’articolo 12 del modello di accordo, nel caso vi fosse la necessità di procedere con una Valutazione di Impatto sulla protezione dei dati (Artt. 35 e 36 del GDPR), la stessa potrà prevedere anche una divisione del lavoro e/o requisiti specifici in materia di informazione reciproca. In tale caso i contitolari si sostengono reciprocamente.

La conservazione della documentazione

Secondo l’articolo 13 del modello di accordo, tutta la documentazione – che serve come prova del corretto trattamento dei dati – è conservata oltre il termine della durata contrattuale, da ciascuna delle parti, in conformità con i poteri e gli obblighi di legge (Art. 5 comma 2 del GDPR[7]).

Riservatezza, misure di sicurezza e privacy by design-by default

In base all’articolo 14 del modello di accordo, le parti garantiscono, nell’ambito della loro sfera di influenza, che tutto il personale coinvolto nel trattamento dei dati:

  • mantenga la riservatezza dei dati ai sensi degli Artt. 28.3, 29 e 32 del GDPR, per tutta la durata del loro rapporto lavorativo, nonché per il tempo successivo alla sua cessazione;
  • sia tenuto a rispettare la riservatezza dei dati prima dell’inizio del rapporto di lavoro;
  • che sia a conoscenza delle pertinenti disposizioni in materia di protezione dei dati (GDPR e normativa nazionale, nel caso italiano il Codice Privacy – D. Lgs. 196/2003).

I contitolari garantiscono, in modo indipendente, il rispetto di tutti gli obblighi giuridici esistenti in materia di conservazione dei dati. Essi devono adottare adeguate misure di sicurezza dei dati (art. 32 e ss. del GDPR), in special modo in caso di cessazione della cooperazione.

Gli stessi contitolari garantiscono il rispetto dei principi della protezione dei dati fin dalla progettazione (Privacy-by-Design – Art. 25.1 del GDPR) e dei principi della protezione dei dati per impostazione predefinita (Privacy-by-Default – Art. 25.2 del GDPR), nonché utilizzando misure tecniche e organizzative adeguate al caso concreto.

I responsabili del trattamento

L’articolo 15 del modello di accordo è applicabile nel caso di presenza di responsabili del trattamento ai sensi dell’Art. 28 del GDPR. È fondamentale che tutti i rapporti tra ciascun contitolare e i reciproci responsabili siano disciplinati da un contratto od atto vincolante, così come disposto dal richiamato Art. 28 del GDPR.

I responsabili del trattamento: il veto, informazioni, modifiche

Allo stesso modo, l’articolo 16 afferma che le parti si impegnano a concludere un contratto od atto di nomina vincolante quando si avvalgono di responsabili del trattamento nell’ambito del presente accordo, nonché ad ottenere il consenso scritto degli altri contitolari prima di concludere il contratto. Ciascuna parte ha il diritto di veto in merito ad uno o più responsabili del trattamento, previa adeguata motivazione.

Le parti si informano reciprocamente e tempestivamente di qualsiasi modifica relativa all’intervento o la sostituzione di responsabili del trattamento e individuano solamente fornitori che garantiscano il rispetto della normativa sulla protezione dei dati e le disposizioni del presente accordo. I loro servizi non sono considerati servizi ai sensi del presente paragrafo di cui le parti si avvalgono come servizi di supporto accessorio, come, ad esempio, quelli di telecomunicazione e manutenzione. In ogni caso, le parti sono tenute a stipulare opportuni accordi contrattuali in conformità alla legge e ad adottare misure di controllo al fine di garantire la protezione e la sicurezza dei dati personali, anche nel caso di servizi aggiuntivi forniti da terzi.

I registri delle attività di trattamento

Secondo l’articolo 17 del modello di accordo, le parti inseriscono le attività di trattamento di cui al medesimo accordo nell’elenco dei trattamenti ai sensi dell’art. 30.1 del GDPR, inserendovi anche una nota sulla natura del trattamento sotto la propria responsabilità congiunta o esclusiva.

La responsabilità delle parti

Infine, in base all’articolo 18 del modello di accordo, le parti sono responsabili in solido nei confronti delle persone interessate per i danni causati da un trattamento non conforme al GDPR.

La regolamentazione della responsabilità nel rapporto interno può essere determinata individualmente e contrattualmente dalle parti contraenti in questo momento.

Il contenuto essenziale dell’accordo

L’autorità privacy del Baden-Württemberg ha provveduto a stilare alcuni punti che rappresentano il “contenuto essenziale dell’accordo”, da mettere obbligatoriamente a disposizione degli interessati (Art. 26.2 del GDPR). Affinché gli interessati possano esercitare efficacemente i propri diritti, è necessario prestare particolare attenzione alla comprensibilità di ciascun punto.

4.1 informazioni sulla responsabilità congiunta

L’accordo sulla contitolarità è reso ai sensi dell’articolo 26.2 del Regolamento UE 2016/679 – GDPR (General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati).

Qual è il motivo della responsabilità congiunta?

Indicare che nell’ambito del progetto intercorrente tra le parti, le stesse lavorano in stretta collaborazione. Ciò vale anche per il trattamento dei dati personali degli interessati (specificare, ad es. clienti, pazienti ecc.). Indicare che le parti hanno stabilito di comune accordo l’ordine di trattamento di tali dati nelle singole fasi del processo. Sono pertanto contitolari per la protezione dei dati personali degli interessati nell’ambito delle fasi del processo descritte di seguito.

Per quali fasi del processo esiste una “responsabilità comune” (Contitolarità)?

Viene fornita una breve e facilmente comprensibile descrizione del contenuto delle fasi del processo. Ulteriore domanda di controllo: come vengono trattati i dati personali nei sistemi?

Cosa hanno concordato le parti?

Nell’ambito dei trattamenti operati in contitolarità, i contitolari hanno concordato come adempiere congiuntamente o individualmente agli obblighi previsti dal GDPR. Ciò riguarda in particolare l’esercizio dei diritti degli interessati e l’adempimento degli obblighi di informazione di cui agli Artt. 13 e 14 del GDPR. Specificare la fase del processo od il sistema informatico interessato, con relativa responsabilità in campo a ciascuna parte.

Cosa significa questo per gli interessati?

In ultimo, è necessario evidenziare le responsabilità in capo a ciascun contitolare. Infatti, anche se si è in presenza di una contitolarità, le parti adempiono ai loro obblighi in materia di protezione dei dati in base alle rispettive responsabilità per le singole fasi del processo.

Ciascuna parte mette gratuitamente a disposizione degli interessati le informazioni richieste ai sensi degli Artt. 13 e 14 del GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio chiaro e semplice. A tal fine, ciascuna parte fornisce all’altra tutte le informazioni necessarie provenienti dalla sua organizzazione.

Ciascuna parte informa immediatamente l’altra circa le posizioni giuridiche assunte dagli interessati. Le parti si forniscono reciprocamente tutte le informazioni necessarie per rispondere alle richieste di accesso.

Infine, i diritti in materia di protezione dei dati personali possono essere fatti valere nei confronti di ciascuna parte, specificando un punto di contatto. In linea di principio, gli interessati ricevono l’informazione dalla parte con cui fanno valere i loro diritti.

_________________________________________________________________

In Germania la protezione dei dati personali – come in diversi altri campi – è una materia a “competenza mista”, sia federale (Bund) che regionale (Land). Il Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) è l’autorità privacy federale che si occupa della protezione dei dati negli organismi federali, nelle telecomunicazioni e nei servizi postali. Il restante settore pubblico, nonché tutto il settore privato, è appannaggio delle singole autorità privacy dei Land (nel caso in oggetto l’autorità locale è il Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg). Per maggiori informazioni.

La lista delle autorità privacy dei Land

  1. Art. 24.1 GDPR: Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
  2. Per l’art. 4 n. 7) del GDPR, il Titolare del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
  3. I diritti dell’interessato sono compresi tra gli artt. 15 e 22 del GDPR.
  4. Si fa riferimento alle “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato” (Art. 13 del GDPR), nonché alle “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato” (Art. 14 del GDPR).
  5. Si segnala la versione in lingua italiana – non ufficiale, ma ben stilata e pienamente utilizzabile – di Christopher Schmidt CIPP⁄E CIPM CIPT CBSA e dell’avv. Giacomo Conti al presente link: https://www.linkedin.com/pulse/modello-di-accordo-tra-contitolari-ai-sensi-dellart-1-christopher/
  6. I dati personali sono: […] adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sonotrattati
  7. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4