GDPR, tutto ciò che bisogna sapere su titolare e responsabile del trattamento nelle Linee guida EDPB - Agenda Digitale

Le regole

GDPR, tutto ciò che bisogna sapere su titolare e responsabile del trattamento nelle Linee guida EDPB

Le Linee guida 07/2020 dell’EDPB, la cui versione finale è stata adottata il 7 luglio, offrono chiariementi in merito alle definizioni, ai ruoli e ai compiti di titolare e responsabile del trattamento dei dati, figura fondamentali per il rispetto del GDPR

06 Ago 2021
Monica Belfi

Legal Specialist, GDPR and Data Protection Specialist

La definizione dei ruoli di titolare e responsabile del trattamento, con l’entrata in vigore del GDPR, è diventata ancora più rilevante e strategica, perché la loro corretta individuazione è fondamentale, nella pratica, per determinare obblighi e responsabilità in merito all’osservanza delle norme a tutela dei dati personali. Allo stesso modo, risulta importante che l’interpretazione dei ruoli di “titolare”, “contitolare” e “responsabile” del trattamento sia uniforme in tutto lo Spazio Economico Europeo.

A questo pro, lo European Data Protection Board il 7 luglio ha adottato la versione finale delle Linee Guida sui ruoli di titolare e responsabile, le Guidelines 07/2020 on the concepts of controller and processor in the GDPR.

Nuove linee guida EDPB su titolare e responsabile: il contenuto

Il documento sostituisce le precedenti linee guida del Working Party Art. 29 del 2010[2], il cui aggiornamento si era reso necessario non tanto perché i ruoli abbiano subito drastici mutamenti nella loro definizione, ma perché devono essere oggi applicati nel contesto di una normativa che ha introdotto principi, istituti e obblighi e con riferimento a tecnologie e servizi assai differenti da quelli esistenti al tempo del testo del WP.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il testo adottato risulta aggiornato anche con riferimento anche alle recenti Standard Contractual Clauses e all’EDPB-EDPS “Joint Opinion n. 1/2021 on standard contractual clauses between controllers and processors”. Vediamo cosa cambia rispetto al documento sottoposto a consultazione e quali sono le indicazioni pratiche fornite dalle Linee Guida.

Linee guida 7/2020 EDPB su titolare e responsabile, ecco le definizioni per individuare i ruoli

Il Titolare del Trattamento: chiarimenti dell’EDPB

Per individuare il soggetto titolare occorre tenere conto che:

  • il titolare del trattamento è il soggetto che ha potere di decidere in autonomia gli elementi chiave del trattamento: le finalità e i mezzi, ovvero il perché e il come del trattamento;
  • il titolare è tale se decide sia sulle finalità che sui mezzi essenziali, anche se alcuni aspetti relativi alle modalità del trattamento ed ai c.d. “mezzi non essenziali”, possono essere lasciati alla scelta del responsabile;
  • il titolare è tale anche se non accede ai dati, laddove determini scopi e mezzi essenziali.

È possibile negoziare tra le parti chi è titolare e chi responsabile? No. L’individuazione dei ruoli non è liberamente negoziabile tra le parti, ma deve derivare da un’analisi degli elementi di fatto e delle circostanze concrete del caso. Quale soggetto occorre considerare titolare: la società, il suo amministratore delegato, i dipendenti? Può esserlo un singolo dipartimento interno alla società? Solitamente, è l’organizzazione a fungere da titolare del trattamento, e non un soggetto all’interno all’organizzazione (come l’amministratore delegato, un dirigente o un dipendente), infatti i trattamenti effettuati dai dipendenti nell’ambito delle attività di un’azienda si presume avvenga sotto il controllo di quest’ultima. Questo accade anche nel caso in cui alcuni dipartimenti o unità di una società abbiano la responsabilità di garantire la compliance in relazione a determinate attività e agiscano con indipendenza: è comunque la società ad essere titolare del trattamento.

Allo stesso modo, anche qualora si nominasse un delegato agli adempimenti privacy, rimarrebbe Titolare sempre l’organizzazione.

Esempi pratici

Il dipartimento di marketing di un’azienda lancia una campagna pubblicitaria per promuovere dei prodotti: nonostante sia operativamente il reparto marketing a decidere in autonomia la natura della campagna, i mezzi da utilizzare, a quali clienti rivolgersi e quali dati utilizzare, titolare del trattamento sarà la società e non il dipartimento.

  1. Il potere decisionale è determinato dalla legge? Il potere decisionale può derivare dalla legge, ma non necessariamente: può derivare dalle circostanze concrete, dalle competenze professionali o dai termini contrattuali. I criteri possono essere riassunti in due ambiti principali:
  2. Il potere decisionale deriva da disposizioni di legge, pertanto il titolare è specificamente identificato in una legge o risulta comunque determinato o individuabile dalla legge.

Un altro caso. La legge nazionale del Paese A stabilisce l’obbligo per i Comuni di fornire servizi assistenziali, come pagamenti mensili, ai cittadini, in relazione alla loro situazione finanziaria. Per effettuare questi pagamenti, il Comune deve raccogliere e trattare i dati sulla situazione finanziaria dei richiedenti, in qualità di Titolare del trattamento.

  1. Il potere decisionale deriva dalla situazione fattuale. In questo caso è possibile distinguere tra:
    1. Titolarità derivante da una competenza specifica, che può derivare da disposizioni giuridiche generali o da una consolidata prassi giuridica (es. dal diritto civile, diritto commerciale, diritto del lavoro, ecc.). In questi casi i ruoli esistenti e le esperienze professionali che comportano determinate responsabilità, potranno aiutare ad individuare il titolare del trattamento.

Sono titolari: il datore di lavoro che tratta i dati dei suoi dipendenti; l’editore che tratta i dati dei suoi abbonati, l’associazione che tratta i dati dei suoi soci.

Il caso di uno studio legale

Studio legale. Uno studio legale rappresenta un suo cliente in giudizio, e nell’ambito di tale funzione tratta dati personali collegati al caso del cliente. La ragione del trattamento dei dati è il mandato ricevuto dal cliente, avente ad oggetto la rappresentanza in giudizio. Lo studio legale agisce con un significativo grado di indipendenza, ad esempio nel decidere quali informazioni utilizzare e come, non gli vengono fornite istruzioni da parte del cliente. Il trattamento che lo studio legale effettua per adempiere al suo obbligo nel rappresentare il cliente è, pertanto, legato al ruolo funzionale dello studio legale, che deve essere considerato Titolare in relazione a tale trattamento.

I service provider

I fornitori di servizi di telecomunicazione, come i provider di servizi di posta elettronica, sono considerati normalmente titolari del trattamento, in relazione ai trattamenti necessari alla fornitura del servizio (ad es. in relazione ai dati di traffico o di fatturazione). Se l’unico scopo e ruolo del fornitore è quello di consentire la trasmissione di messaggi di posta elettronica, il fornitore non sarà considerato come titolare con riferimento i dati personali contenuti nei messaggi, bensì sarà considerato titolare il soggetto da cui proviene il messaggio;

    1. Titolarità derivante dall’esercizio di una decisiva influenza nell’ambito della relazione contrattuale tra le parti.

Esempio. Un grosso fornitore di servizi di cloud storage, che offre ai suoi clienti un servizio completamente standardizzato, per cui i clienti hanno poca o nessuna possibilità di personalizzare il servizio o negoziare i termini del contratto, che sono determinati e redatti unilateralmente dal fornitore di servizi cloud in modalità “prendere o lasciare”. In questo caso, sarà comunque la società che decide di utilizzare questo servizio ad essere considerata Titolare del trattamento, mentre, il provider, nella misura in cui non tratta i dati personali per i propri scopi, ma li conserva esclusivamente per conto dei suoi clienti e in conformità alle istruzioni ricevute, sarà considerato un Responsabile. In sostanza, quindi, il Titolare resta tale anche nei casi in cui un servizio è già definito dal provider perchè è comunque il Titolare che decide se attivarlo e deve approvare ogni eventuale modifica proposta dal responsabile.

  1. Su cosa verte il potere decisionale del Titolare nel determinare i mezzi? Il potere decisionale deve riferirsi ai “mezzi essenziali”, che sono: la tipologia di dati personali trattati (quali dati devo trattare), la durata del trattamento, le categorie di destinatari (chi ha accesso ai dati) e le categorie di interessati. Possono essere escluse questioni tecniche o organizzative “non essenziali” (ad es. scelta dell’hardware o software da utilizzare), la cui decisione può anche essere demandata al Responsabile.

Esempio 1. La società A assume la società di revisione C per effettuare controlli sulla loro contabilità e quindi trasferisce i dati sulle transazioni finanziarie (compresi i dati personali) a C. La società di revisione C elabora questi dati senza istruzioni dettagliate da parte di A. La società di revisione C decide le finalità del trattamento (scopo di revisionare A), in conformità alle disposizioni di legge che regolano l’attività di revisione e determina quali dati deve ricevere, di quali categorie di interessati, per quanto tempo i dati devono essere conservati e quali mezzi tecnici utilizzare. In queste circostanze, la società di revisione C deve essere considerata come un Titolare. Tuttavia, questa valutazione può essere diversa a seconda del livello delle istruzioni fornite da A: ad es. in una situazione in cui C svolgesse attività ancillari, per cui la legge non stabilisce obblighi specifici per la società di revisione e la società cliente fornisse istruzioni molto dettagliate sul trattamento, la società di revisione si comporterebbe come un Responsabile.

Attività Payroll

La società A incarica la società C di gestire il pagamento degli stipendi ai suoi dipendenti, fornendo istruzioni chiare su chi pagare, quali importi, entro quale data, da quale banca, per quanto tempo i dati devono essere conservati, quali dati dovrebbero essere comunicati all’autorità fiscale, ecc. In questo caso, C è Responsabile del trattamento. I mezzi essenziali con cui la società di payroll deve effettuare il trattamento sono chiaramente definiti, tuttavia, può decidere su alcune questioni di dettaglio relative al trattamento, come ad esempio quale software utilizzare, come assegnare gli accessi all’interno della propria organizzazione, ecc.

Banca

La società di payroll dell’esempio precedente, tra le attività da svolgere per conto di A, deve comunicare alcune informazioni alla Banca B, perché proceda ad effettuare il pagamento ai dipendenti. Questa attività comprende il trattamento di dati personali da parte della Banca B che essa effettua all’interno dell’attività bancaria in autonomia, decidendo, indipendentemente da A, che non può avere alcuna influenza sulla finalità e mezzi del trattamento dei dati da parte della Banca. Quest’ultima deve pertanto essere considerata Titolare per tale trattamento e la trasmissione di dati personali da parte della società di payroll deve essere considerata come una comunicazione di informazioni tra due Titolari (A e B).

Hosting provider

La società A acquista il servizio di hosting H per memorizzare dati criptati sui server di H. H non determina se i dati che ospita sono dati personali, né li tratta in alcun modo, se non per conservarli sui suoi server. Poiché la conservazione è un esempio di un’attività di trattamento dei dati personali, H sta trattando dati personali per conto di A, in qualità di Responsabile.

Considerato che le decisioni sui mezzi non essenziali possono essere lasciate al Responsabile, il Titolare può lasciare che sia il Responsabile a determinare in toto le misure di sicurezza? No. Il Titolare deve comunque indicare nell’accordo ex art. 28 GDPR l’istruzione di adottare tutte le misure richieste dall’articolo 32 GDPR. Infatti, il Titolare rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformità con il Regolamento.

Esempio. L’azienda X decide di esternalizzare le attività di customer service a un call center, che riceve i dati personali dei clienti e utilizza il proprio software e la propria infrastruttura informatica per gestire il servizio. La società X stipula un accordo ex art. 28 dopo aver stabilito che le misure di sicurezza tecniche e organizzative proposte dal call center sono adeguate. La società X non fornisce ulteriori istruzioni al call center per quanto riguarda il software specifico da utilizzare né istruzioni dettagliate sulle misure di sicurezza specifiche da attuare. In questo esempio, la società X deve essere considerata titolare, nonostante il call center abbia determinato alcuni mezzi non essenziali del trattamento.

È necessario che vi sia accesso ai dati perché un soggetto sia qualificato come titolare del trattamento? No. Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati personali. Un soggetto che esternalizzi un’attività con un’influenza determinante sullo scopo e sui mezzi (essenziali) del trattamento (ad esempio regolando i parametri di un servizio in modo tale da influenzare i dati personali da trattare), deve essere considerato come Titolare del trattamento anche se non ha accesso effettivo ai dati.

Esempio 1. La società ABC si avvale del fornitore XYZ, per condurre una ricerca di mercato sui consumatori e capire quali sono maggiormente interessati ai suoi prodotti e dà istruzioni a XYZ sul tipo di informazioni a cui è interessata, fornendo una lista di domande da porre agli intervistati. La società ABC riceve da XYZ solo informazioni statistiche (dati aggregati) e non ha accesso ai dati personali. Ciononostante, la società ABC ha deciso che il trattamento deve avere luogo e ha determinato le finalità e i mezzi (ha fornito a XYZ istruzioni dettagliate). La società ABC deve quindi essere, quindi, considerata un Titolare del trattamento dei dati personali che ha luogo per fornire le informazioni che ha richiesto.

XYZ, che può trattare i dati solo per lo scopo indicato da ABC e secondo le sue istruzioni, è da considerarsi come Responsabile del trattamento.

Esempio 2. L’azienda ABC si avvale del fornitore XYZ, per condurre una ricerca di mercato sui consumatori per capire quali sono maggiormente interessati ai suoi prodotti. Il fornitore di servizi XYZ ha raccolto in modo indipendente informazioni sugli interessi dei consumatori attraverso una serie di questionari, secondo la propria metodologia, senza ricevere alcuna istruzione dalla società ABC. In questo esempio, il fornitore di servizi XYZ agisce come unico Titolare, trattando i dati personali per finalità proprie, determinando autonomamente i mezzi per farlo. La società ABC, che riceve statistiche anonime non ha alcun ruolo privacy.

Contitolare del trattamento, le precisazioni dell’EDPB

Quando due o più titolari del trattamento determinano congiuntamente, insieme, le finalità e i mezzi del trattamento, essi sono contitolari. La qualifica di contitolare può sussistere quando più attori partecipano congiuntamente nella determinazione delle finalità e dei mezzi delle attività di trattamento, in seguito a una decisione comune, oppure come risultato di decisioni convergenti. In quest’ultimo caso, tali decisioni si completano a vicenda e sono necessarie per il trattamento in modo tale da avere un impatto tangibile sulla determinazione delle finalità e delle modalità del trattamento, tanto che senza la partecipazione di entrambe le parti il trattamento non sarebbe possibile: il trattamento da parte di ciascuna parte risulta, quindi, inscindibile, inestricabilmente legato. La partecipazione congiunta deve avvenire sia con riferimento alla determinazione delle finalità che alla determinazione dei mezzi.

Se una delle parti non ha accesso ai dati personali può essere considerata comunque titolare: il fatto che una delle parti non abbia accesso ai dati personali non è da sola sufficiente a escludere la contitolarità. Nella contitolarità la responsabilità tra le parti non è sempre uguale: la contitolarità non implica necessariamente una ùesponsabilità uguale tra i soggetti coinvolti, ma può variare.

La contitolarità non insiste necessariamente sempre su tutti i trattamenti: la contitolarità può esistere solo per alcune parti del trattamento. Se una delle parti decide da sola le finalità e i mezzi di alcune operazioni, deve essere considerata come il solo Titolare di questi trattamenti. Può inoltre esserci contitolarità quando le parti non hanno la stessa finalità del trattamento, cioè quando le parti coinvolte perseguono scopi differenti, ma che sono strettamente collegati o complementari, ad esempio quando esiste un reciproco beneficio, a condizione che ciascuno dei soggetti coinvolti partecipi alla determinazione delle finalità e dei mezzi del relativo trattamento.

Il caso

Caso Fashion ID, C-40/19. La CGUE ha stabilito che un operatore di un sito web partecipa alla determinazione delle finalità e dei mezzi del trattamento quando incorpora un social plug-in su un sito web al fine di ottimizzare la pubblicità dei propri prodotti rendendoli più visibili sui social network. La CGUE ha ritenuto che i trattamenti in questione siano state eseguite nell’interesse economico di entrambe le parti, ossia dell’operatore del sito web e del provider del social plug-in.

 Agenzia di viaggi

Un’agenzia di viaggi invia dati personali dei suoi clienti alla compagnia aerea e a una catena d’alberghi per effettuare delle prenotazioni per un pacchetto viaggi. La compagnia aerea e l’albergo confermano la disponibilità dei posti e delle camere richiesti. L’agenzia emette i documenti di viaggio e i voucher per i suoi clienti. In questo caso, l’agenzia di viaggi, la compagnia aerea e l’hotel saranno tre titolari distinti, ciascuno soggetto agli obblighi di protezione dei dati in relazione al proprio trattamento.

La valutazione potrebbe, però, essere diversa se le stesse parti decidessero di creare una piattaforma online comune per perseguire finalità comuni, ad es. per gestire i servizi di prenotazione e, condividendo i dati dei clienti, effettuare attività di marketing. Laddove, nel creare tale infrastruttura, essi determinassero gli aspetti fondamentali degli strumenti da utilizzare, diventerebbero, relativamente a questi specifici trattamenti, contitolari, mentre manterrebbero la titolarità disgiunta per altre attività eventualmente svolte fuori dalla piattaforma comune.

Progetto di ricerca di istituti

Diversi istituti di ricerca decidono di partecipare a un progetto di ricerca comune e di utilizzare a tal fine la piattaforma esistente di uno degli istituti coinvolti nel progetto. Ogni istituto inserisce nella piattaforma i dati personali che già detiene ai fini della ricerca comune e utilizza i dati forniti dagli altri attraverso la piattaforma per svolgere la ricerca. In questo caso, tutti gli istituti si qualificano come contitolari per il trattamento dei dati personali che viene fatto trattando informazioni da questa piattaforma, poiché hanno deciso insieme lo scopo del trattamento e i mezzi da utilizzare (la piattaforma esistente). Ognuno degli istituti è tuttavia un Titolare autonomo per qualsiasi altro trattamento che può essere effettuato al di fuori della piattaforma, per i loro propri scopi.

Sperimentazioni cliniche

Un centro clinico (Sperimentatore-Investigator) e un’Università (Sponsor) decidono di lanciare insieme una sperimentazione clinica con lo stesso scopo. Collaborano insieme alla stesura del protocollo (scopo, metodologia/disegno dello studio, dati da raccogliere, criteri di esclusione/inclusione dei soggetti, riutilizzo del database, ecc). I due soggetti possono essere considerati come contitolari del trattamento per questo studio clinico, in quanto determinano congiuntamente e concordano lo stesso scopo e i mezzi essenziali del trattamento. La raccolta di dati personali dalla cartella clinica del paziente a scopo di ricerca deve essere distinta dall’archiviazione e dall’utilizzo degli stessi dati a scopo di cura del paziente, per i quali il centro rimane il Titolare.

Nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo, ma si limiti, ad esempio, ad accettare il protocollo già elaborato dallo sponsor, lo sperimentatore deve essere considerato come un Responsabile e lo sponsor come il Titolare del trattamento per questa sperimentazione clinica.

Analisi dei dati sanitari

La società ABC, sviluppatore di una app per il monitoraggio della pressione sanguigna e la società XYZ, fornitore di una app per medici, desiderano esaminare come i cambiamenti della pressione sanguigna possano aiutare a prevedere alcune malattie, decidono di creare un progetto comune, chiedendo la collaborazione dell’ospedale DEF. I dati personali che saranno trattati in questo progetto consistono in dati personali che la società ABC, l’ospedale DEF e la società XYZ già elaborano separatamente come autonomi Titolari. La decisione di elaborare questi dati per valutare i cambiamenti della pressione sanguigna viene presa congiuntamente dalle tre parti, che determinano insieme le finalità del trattamento. La società XYZ ha proposto i mezzi essenziali del trattamento, che sono stati approvati dalle altre parti. Una volta che la ricerca è completata, le tre parti potranno beneficiare dell’esito, utilizzandone i risultati nelle loro attività. Per tutte queste ragioni, si qualificano come contitolari del trattamento congiunto.

Diversamente, se la società XYZ fosse stata semplicemente incaricata dagli altri di eseguire questa valutazione senza avere alcuno scopo proprio e avesse semplicemente elaborato i dati per conto degli altri, la società XYZ si qualificherebbe come Responsabile del trattamento, anche laddove le fosse stata affidata la determinazione dei mezzi non essenziali.

Settore marketing

Le aziende A e B hanno lanciato un prodotto co-branded C e vogliono organizzare un evento per promuoverlo. A tal fine, decidono di condividere i dati dei rispettivi clienti e prospects e definire la lista degli invitati. Essi concordano anche sulle modalità di invio degli inviti, su come raccogliere feedback durante l’evento e sulle successive azioni marketing di follow-up. Le aziende A e B possono essere considerate come contitolari del trattamento dei dati personali relativi all’organizzazione e promozione dell’evento, poiché decidono insieme le finalità e i mezzi essenziali del trattamento.

Headhunter

La società X aiuta la società Y nel recruiting di nuovo personale, con il suo servizio “global match “. X cerca candidati idonei sia tra i CV ricevuti direttamente dalla Società Y sia tra quelli che ha già nel proprio database, creato e gestito per conto proprio. Anche se non hanno formalmente preso una decisione insieme, le società X e Y partecipano congiuntamente al trattamento, con lo scopo di trovare candidati idonei sulla base di decisioni convergenti: la decisione di creare e gestire il servizio “global match” per la Società X e la decisione della Società Y arricchire il database con i CV che riceve direttamente. Tali decisioni si completano l’una con l’altra, sono inseparabili e necessarie per la finalità di ricerca di candidati. Pertanto, in questo caso particolare dovrebbero essere considerati come contitolari. Tuttavia, la società X rimane titolare autonomo del trattamento necessario per gestire la sua banca dati e la Società Y rimane titolare autonomo del successivo trattamento di assunzione (organizzazione di colloqui, conclusione del contratto e gestione delle risorse umane).

Contitolarità, casi particolari

Quando ci sono più parti coinvolte in attività di partnership, cooperazione o collaborazione è sempre individuata una contitolarità? No. Il fatto che più attori siano coinvolti nello stesso trattamento non significa che agiscano necessariamente come contitolari. Un esempio pratico. La società XYZ raccoglie e tratta i dati personali dei suoi dipendenti per gestire gli stipendi, le assicurazioni, ecc. La società ha anche l’obbligo di legge di inviare tutti i dati relativi agli stipendi all’amministrazione tributaria. In questo caso, anche se sia la società XYZ che l’autorità trattano gli stessi dati, non determinano né le finalità né i mezzi congiuntamente, pertanto, sono due distinti titolari.

Sussiste sempre la contitolarità quando più parti utilizzano una infrastruttura comune o condividono la stessa banca dati? No, non sempre l’utilizzo di una stessa infrastruttura o la condivisione di uno stesso database comportano una contitolarità: non c’è contitolarità se ciascuna parte determina autonomamente i propri scopi. Un esempio: operazioni di marketing in un gruppo di società che utilizzano un database condiviso. Un gruppo di società utilizza lo stesso database per la gestione dei clienti e dei prospects. Tale database è ospitato sui server della società capogruppo, che è quindi un Responsabile del trattamento per quanto riguarda la conservazione dei dati. Ogni entità del gruppo inserisce i dati dei propri clienti e prospects e tratta tali dati solo per i propri scopi. Inoltre, ciascuna entità decide autonomamente in merito all’accesso, ai periodi di conservazione, alla correzione, modifica o cancellazione dei dati e non può accedere o utilizzare i dati delle altre società. Il solo fatto che queste società utilizzino una banca dati comune non implica di per sé che sussista tra loro una contitolarità. In queste circostanze, ogni società è quindi un Titolare autonomo.

Un altro esempio: la società XYZ mette a disposizione di altre società il proprio database per conservare dati dei loro dipendenti. La società XYZ è un responsabile del trattamento in relazione alla conservazione dei dati dei dipendenti delle altre società, poiché queste operazioni vengono eseguite per conto e secondo le istruzioni delle società Titolari.

Responsabile del trattamento: ruolo e compiti secondo l’EDPB

Il Responsabile è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Per qualificare un soggetto “Responsabile” devono sussistere due requisiti essenziali:

  1. Deve essere un soggetto distinto dal titolare del trattamento;
  2. Deve trattare i dati personali per conto del titolare, dove “per suo conto” significa principalmente “a beneficio di”, “nell’interesse di”. Il responsabile serve, quindi, gli interessi del titolare, non tratta i dati per perseguire propri scopi, non determina le finalità né i mezzi essenziali del trattamento e agisce secondo le istruzioni ricevute dal titolare del trattamento.

Quale grado di dettaglio devono avere le istruzioni del Titolare al Responsabile? Il Responsabile non deve trattare i dati personali se non su istruzione documentata del Titolare. Sul contenuto delle istruzioni del titolare sussiste un margine di discrezionalità, consentendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi maggiormente idonei (mezzi non essenziali).

Non è necessario che sia il Titolare a redigere materialmente l’accordo ex art. 28 GDPR. Infatti, non ha importanza se il testo di accordo è predisposto da una o dall’altra parte; in molti casi i fornitori di servizi stabiliscono servizi e contratti standard da far firmare ai clienti. Il fatto che il contratto e le sue dettagliate condizioni generali siano preparate dal fornitore di servizi invece che dal titolare non è problematico e non basta in sé per far concludere che il fornitore di servizi debba essere considerato come un titolare. Il titolare che accetti liberamente tali clausole contrattuali, ne assume di conseguenza la piena responsabilità. Nello stesso spirito, lo squilibrio fra il potere contrattuale di un piccolo titolare del trattamento rispetto a un grosso fornitore di servizi non può giustificare il fatto che il primo accetti clausole e condizioni non conformi alla normativa sulla protezione dei dati.

Non è corretto che il Responsabile modifichi unilateralmente le condizioni, con la mera pubblicazione delle stesse sul proprio sito internet. La semplice pubblicazione di tali modifiche sul sito web del Responsabile del trattamento non è conforme all’articolo 28 GDPR. Qualsiasi proposta di modifica degli accordi sul trattamento dei dati da parte di un Responsabile dovrebbe essere notificata direttamente al Titolare e approvata da quest’ultimo.

Cosa succede se il Responsabile va oltre le istruzioni del Titolare e decide finalità e mezzi del trattamento? Il responsabile viola il GDPR se va oltre le istruzioni del Titolare e inizia a determinare le proprie finalità e le proprie modalità di trattamento e sarà considerato Titolare del trattamento in questione.

Esempi pratici

Un fornitore di servizi indicato come Responsabile, ma che agisce come Titolare. Il fornitore di servizi MZ fornisce servizi di pubblicità e marketing diretto a diverse aziende. L’azienda G conclude un contratto con MZ, secondo il quale quest’ultima fornirà pubblicità ai clienti di G e viene indicata come Responsabile del trattamento. Tuttavia, MZ decide di utilizzare la banca dati dei clienti di G anche per scopi diversi dalla pubblicità per G, come ad esempio, lo sviluppo della propria attività commerciale. La decisione di trattare i dati per uno scopo aggiuntivo a quello per cui i dati personali sono stati trasferiti, trasforma MZ in un Titolare per tale trattamento e costituisce una violazione del GDPR.

Servizi Taxi e di pulizia

La società che fornisce un servizio non sempre deve essere considerata Responsabile. Per esempio, il servizio taxi determina anche in modo indipendente le categorie di dati che raccoglie e per quanto tempo li conserva, agisce quindi come titolare, seppure il trattamento avvenga a seguito di una richiesta di servizio da parte della società ABC (su richiesta di ABC, che usufruisce del servizio per semplificare la prenotazione del taxi ai propri dipendenti o terzi, ma non “per conto” di ABC).

Facciamo l’esempio dei servizi di pulizia. La società A conclude un contratto con una società di servizi di pulizia per pulire i suoi uffici. Gli addetti alle pulizie non dovrebbero accedere ai dati personali né trattarli in alcun modo. Nonostante possano occasionalmente accedere a tali dati quando si spostano negli uffici, possono svolgere il loro compito senza accedere ai dati e contrattualmente è vietato loro l’accesso e il trattamento di dati personali che Società A detiene come titolare del trattamento. L’impresa di pulizia e i suoi dipendenti devono pertanto essere considerati come un terzo e il titolare dovrà assicurare l’adozione di misure adeguata ad impedire che abbiano accesso ai dati.

Se una società offre un servizio standard, già predefinito, può essere un Responsabile del trattamento: anche se il Responsabile offre un servizio predefinito nei suoi elementi, il Titolare del trattamento deve prendere la decisione finale di approvare attivamente le modalità di svolgimento del trattamento e/o essere in grado di richiedere modifiche, se necessarie. Per esempio, un Comune ha deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nella sua scuola e dei servizi educativi. Il Comune è Titolare del trattamento e il cloud service provider Responsabile. Il fornitore di servizi cloud offre un servizio standardizzato in tutto il mondo, ma è il Comune che decide le finalità dei trattamenti e che deve assicurare gli adempimenti ex art 28, tra cui che il service provider rispetti le specifiche istruzioni impartite sui periodi di conservazione, la cancellazione dei dati, ecc. Il ruolo del Responsabile deve, quindi, essere determinato caso per caso sulla base delle attività concrete in uno specifico contesto, analizzando la natura del servizio e accertando il grado di influenza che ciascuna parte ha in concreto nella determinazione delle finalità e dei mezzi essenziali del trattamento.

Se il trattamento dei dati personali è solo incidentale e non costituisce l’oggetto principale del servizio affidato al fornitore, quest’ultimo non deve essere sempre qualificato come Responsabile. Infatti, se il trattamento dei dati personali è solo incidentale e non costituisce l’oggetto principale del servizio affidato al fornitore e se quest’ultimo non è nella posizione di assumere decisioni autonome in merito al servizio, deve escludersi la qualifica di Responsabile del trattamento in capo al fornitore. Per esempio, la società A incarica uno specialista IT di un’altra azienda di correggere un bug in un software che è utilizzato dall’azienda. Il consulente IT non è assunto per il trattamento dei dati personali, e La società ABC determina che qualsiasi accesso ai dati personali sarà puramente incidentale e molto limitato. ABC conclude quindi che lo specialista IT non è un Responsabile del trattamento, né un titolare autonomo e la Società ABC dovrà implementare misure ai sensi dell’articolo 32 del GDPR per impedire che il consulente IT tratti i dati personali in modo non autorizzato.

Audit

Con riferimento al dovere del Responsabile di contribuire agli audit effettuati dal Titolare o di un altro soggetto da questi incaricato, rispetta la previsione il fatto che il soggetto che effettua l’audit sia scelto e incaricato dal Responsabile? Il Responsabile può suggerire la scelta di uno specifico auditor, ma la decisione finale deve essere lasciata al Titolare, come prevede l’articolo 28, paragrafo 3, lettera h), del GDPR.

La questione della ripartizione dei costi tra Titolare e Responsabile non è disciplinata dal GDPR. Tuttavia, l’articolo 28, paragrafo 3, lettera h), richiede che il contratto preveda l’obbligo per il Responsabile di mettere a disposizione del Titolare tutte le informazioni necessarie e l’obbligo di consentire e contribuire agli audit condotti dal Titolare. Di conseguenza, le parti non dovrebbero inserire nel contratto clausole che prevedano il pagamento di costi che sarebbero chiaramente sproporzionati o eccessivi, tanto da avere un effetto dissuasivo su una delle parti.

Cosa fare in caso di Data breach

Con riferimento all’obbligo per il Responsabile di fornire assistenza al Titolare nell’adempimento di notificare le violazioni dei dati personali all’autorità e agli interessati, il Responsabile deve comunicare al titolare la violazione riscontrata entro un termine preciso? Il GDPR richiede che il Titolare notifichi una violazione senza indebito ritardo, al fine di ridurre al minimo il danno per le persone e reagire alla violazione in modo adeguato. Di conseguenza, anche la notifica del Responsabile al Titolare deve avvenire senza indebito ritardo. Pertanto, può essere opportuno che le parti includano nel contratto un termine specifico (ad esempio un determinato numero di ore) entro il quale il Responsabile deve effettuare la comunicazione, insieme al punto di contatto per tali notifiche, le modalità e il contenuto minimo.

È possibile prevedere che sia il Responsabile a effettuare direttamente la notifica di un data breach all’Autorità o agli interessati: le parti possono negoziare che sia il Responsabile a notificare direttamente una violazione dei dati conformemente agli articoli 33 e 34, ma la responsabilità giuridica della notifica rimane in capo al Titolare. In questo caso, è bene che sia previsto che nel caso in cui il Responsabile notifichi una violazione dei dati direttamente all’autorità di controllo e/o agli interessati, ne informi il Titolare e fornisca a quest’ultimo copia della notifica.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4