gdpr

Raccolta dati personali presso terzi, le sfide normative e come affrontarle

I ruoli principali nel quadro del Gdpr necessitano sempre di un’attenta analisi, dai rapporti tra titolare e responsabile del trattamento a quelli tra contitolari. Ecco gli aspetti da approfondire in tema di informazioni da fornire agli interessati e scelte organizzative legate alla designazione dei soggetti esterni

07 Ott 2019
Fabio Di Resta

Avvocato – DPO in ambito ospedaliero e settore pubblico, presidente EPCE, titolare dello studio legale Di Resta Lawyers


I ruoli principali nel quadro normativo attuale in materia di protezione dei dati personali necessitano sempre di un’attenta analisi, dai rapporti tra titolare e responsabile del trattamento e ai rapporti tra contitolari, che rappresentano scelte organizzative talvolta imposte dalla normativa applicabile.

Anche il rapporto titolare-titolare è certamente molto ricorrente nella realtà, sebbene residuale rispetto alle figure legalmente tipizzate dell’accordo di contitolarità e dell’accordo del responsabile del trattamento, questo può essere un’importante scelta purché sia inserito un appropriato impianto di tutela dell’interessato che garantisca la conformità normativa.

Il quadro normativo attuale sulla protezione dei dati personali è piuttosto complesso, il Regolamento EU 2016/679 noto anche come GDPR è certamente un passo importante della più ampia riforma normativa europea in materia, da una parte si è attuato un rafforzamento della cooperazione giudiziaria e penale in Europa tramite la Direttiva UE 680/2016 recepita in Italia il 18 maggio 2018, dall’altra anche l’approvazione della Convenzione n. 108 a livello di Consiglio d’Europa, Convezione ora modernizzata (il Protocollo emendativo è stato firmato dall’Italia lo scorso 6 marzo 2019) consentirà all’impianto normativo europeo di imporsi come riferimento normativo anche fuori dall’Unione europea.

In tale contesto generale, vi è da rilevare che la materia della protezione dei dati personali è certamente una materia specialistica e che richiede capacità interdisciplinari. In questa sede si intende analizzare due specifici aspetti tra loro intrecciati: il complesso di informazioni che il titolare del trattamento deve fornire nei confronti degli interessati per rispondere alle prescrizioni normative e le scelte organizzative relative alla designazione dei soggetti esterni che trattano dati personali.

Raccolta dei dati presso l’interessato e presso terzi: gli obblighi di fornire idonee informazioni

Il GDPR prevede specificatamente due articoli, l’art. 13 prevede l’insieme delle informazioni che il titolare deve necessariamente fornire all’interessato nel contesto dalla raccolta di dati personali effettuata direttamente presso il soggetto interessato (si pensi al caso del paziente che si reca presso l’Ospedale per l’erogazione di una prestazione sanitaria, al correntista apre il conto corrente presso un istituto bancario, il datore di lavoro che raccoglie i dati personali direttamente dai propri dipendenti), mentre l’art. 14 prevede un’ipotesi diversa e in generale meno ricorrente nella realtà rispetto all’altra, riferita alla circostanza che l’operazione di raccolta dei dati personali non sia effettuata direttamente presso il soggetto interessato ma presso un terzo, tale soggetto potrebbe essere un terzo in senso stretto oppure un anche designato come Responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Si rientra nelle ipotesi di raccolta presso terzi, in concreto, può trattarsi di casi di list brokers ossia soggetti che forniscono ad altri banche dati o archivi contenenti contatti generalmente per finalità commerciali e di marketing, ma si può pensare anche a tutti i casi nei quali vi è un rapporto tra titolare e responsabile del trattamento, nel quale l’interessato si reca per i servizi presso il responsabile anziché presso il titolare, pertanto, in quest’ultimo caso l’operazione di raccolta dei dati personali degli utenti avviene presso il responsabile e non presso il titolare.

Si pensi per esempio alle società a partecipazione pubblica, qualora l’ente pubblico che ha il controllo della partecipata decide di nominare la società partecipata come responsabile del trattamento, in questo caso i servizi erogati dalla partecipata si pensi per esempio alla gestione dei rifiuti, servizi cimiteriali, o altro servizio affidato alla partecipata. In tali casi, il cittadino o utente/interessato che fornisca dati personali alla partecipata che sia stata designata quale responsabile del trattamento, conferisce effettivamente dati personali ed eventualmente particolari presso un terzo soggetto diverso dal titolare del trattamento, tale soggetto operando per conto del titolare del trattamento può essere designato come responsabile del trattamento.

D’altro canto, in tal caso non sembrano normalmente ricorrere le deroghe o le esenzioni dall’informativa previste dall’art. 14 comma 5 del GDPR, sia perché si richiede situazioni oggettivamente impossibile oppure uno sforzo sproporzionato, né si ritiene che possa ricorrere alle altre ipotesi di deroga previste[1].

Tuttavia, l’aspetto che merita particolare attenzione riguarda le finalità del trattamento le quali come è noto vengono determinate il titolare del trattamento in piena autonomia (l’articolo 4 del GDPR, punto 7, riprende appunto il criterio tradizionale dell’autonomia in ordine alla determinazione delle finalità e delle modalità di trattamento dei dati), il potere decisionale del titolare coinvolge tutti i presupposti di legittimità del trattamento dalla base giuridica alla la durata della conservazione e tutti gli altri principi applicabili al trattamento dei dati come la correttezza, la trasparenza, l’integrità e riservatezza del trattamento, così come previsti dall’art. 5 del GDPR si tratta in generale di prerogative dal titolare del trattamento.

Ne deriva, che le informazioni previste dall’art. 14 del GDPR le dovrebbe fornire il titolare del trattamento presso il soggetto terzo ossia la società partecipata. In tal senso l’ambito soggettivo dell’art. 14 del GDPR è molto chiaro si rivolge al solo titolare del trattamento.

Invece, per proseguire l’analisi dell’esempio considerato, qualora la società a partecipazione pubblica, fornisse le informazioni come se lei fosse titolare esclusivo del trattamento, nonostante sia stata designata come responsabile per i trattamento in oggetto, si crea una contraddizione sia con il contratto ai sensi dell’art. 28 GDPR (contratto relativo alla designazione del responsabile del trattamento) sia con le circostanze di fatto e di diritto presenti nello specifico contesto (il titolare esercita un potere decisionale autonomo in ordine alle scelte critiche inerenti al trattamento dei dati personali).

Rapporto titolare-responsabile, il rapporto titolare-titolare e gli adempimenti informativi: i criteri distintivi

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Appare doveroso pertanto a questo punto sottolineare che queste scelte organizzative del titolare comportano numerose conseguenze anche pericolose, infatti, se si forniscono informazioni da parte soggetto diverso dal titolare del trattamento (rectius responsabile del trattamento), devono essere individuati anche elementi connessi alle finalità del trattamento tra le quali i criteri di legittimazione dello stesso (determinate dal titolare del trattamento), il limite alla conservazione dei dati, i dati di contatto del titolare del trattamento necessari per attuare il principio di trasparenza/correttezza e consentire l’esercizio dei diritti degli interessati. Inoltre, il rapporto titolare-responsabile impone a quest’ultimo anche la gestione del Registro delle attività del trattamento ai sensi dell’art. 30 comma 2 del GDPR.

Il Gruppo articolo 29 (ora Comitato europeo per la protezione dei dati) ha asserito a tale riguardo che: “La determinazione degli “strumenti” ingloba quindi questioni sia tecniche che organizzative la cui decisione può anche essere delegata agli incaricati del trattamento (ad es. “quale hardware o software utilizzare?”), nonché elementi essenziali tradizionalmente e intrinsecamente riservati al responsabile del trattamento, come “quali dati trattare?”, “per quanto tempo trattarli?”, “chi vi ha accesso?”, e così via. In questo contesto, mentre la determinazione della finalità del trattamento farebbe scattare in ogni caso la qualifica di responsabile[2] del trattamento, la determinazione dei mezzi implicherebbe una responsabilità solo qualora riguardi gli aspetti fondamentali dei mezzi.” (Parere del Gruppo Articolo 29 del 16 febbraio 2010, WP169).

Il Gruppo Articolo 29 affrontando questa spinosa questione ha pertanto evidenziato che non solo la determinazione delle finalità del trattamento consente di individuare con certezza il titolare ma anche le scelte critiche in ordine ai mezzi del trattamento, e quindi l’individuazione della natura dei dati trattati, la durata della conservazione del trattamento dei dati delegato, l’ambito di accesso ai dati, tutti non possono essere delle mere scelte del responsabile ma rientrano nelle prerogative del titolare del trattamento.

Le responsabilità e l’impianto sanzionatorio quando le informazioni sono incomplete

E’ bene ricordare che informazioni erronee a questo riguardo potrebbero comportare il mancato esercizio dei diritti degli interessati oltre ad un’omessa o inidonea informativa, come previsto dall’art. 83 GDPR si tratterebbe di una violazione dei principi di correttezza e trasparenza del trattamento con conseguente impedimento dell’esercizio dei diritti degli interessati situazione che viene punita con la massima pena edittale prevista fino 20 mln di euro.

Certamente, lo stesso articolo 83 impone di tenere in debito conto una serie di circostanze, inclusi il principio di effettività, di dissuasività e proporzionalità della pena e pertanto la pena sarà commisurata anche ad altre circostanze come la gravità del violazione e la quantità di interessati coinvolti.

Occorre anche ricordarsi che l’impianto sanzionatorio attuale prevede una responsabilità solidale tra il titolare e il responsabile del trattamento, quest’ultimo risponde per inadempienze riferite alle istruzioni contrattuali tra le parti e ma anche per inosservanza degli obblighi diretti previsti dal GDPR.

A questo punto occorre porsi il seguente quesito, chi risponderebbe in via principale per le sanzioni in questo contesto?

Il primo luogo, ne risponderebbe il titolare del trattamento, il quale in base all’articolo 14 non avrebbe fornito un’idonea informativa, né avrebbe fornito gli elementi informativi necessari per l’esercizio dei diritti degli interessati, d’altro canto, sotto un profilo pratico nella maggior parte dei casi il responsabile del trattamento non sarebbe in grado di fornire motu proprio tutte le informazioni necessarie per conto del titolare, né sarebbe tenuto a fornire le stesse in autonomia.

L’obbligo di formalizzare l’accordo di contitolarità

Infine, non può essere trascurata la circostanza che una nomina di responsabile del trattamento, tenuto in conto delle circostanze di fatto e di diritto (p.e. potere decisionale in ordine al trattamento dei dati), qualora non fosse ritenuto condivisibile da parte dell’Autorità Garante per la protezione dei dati personali, potrebbe comportare che i soggetti designati come responsabili siano invece da considerarsi autonomi titolari del trattamento ai sensi dell’art. 4 del GDPR oppure contitolari del trattamento ai sensi dell’art. 26 GDPR (si veda tra i molti, il caso Uber, Provv. Garante privacy del 13 dicembre 2018, doc. web 9069046).

La scelta alternativa alla nomina del responsabile trattamento certamente esiste, da una parte l’accordo di contitolarità ai sensi dell’art. 26 del GDPR, anch’esso insidioso, perché presuppone un’attenta valutazione in primo luogo in ordine alla condivisione delle finalità e modalità di trattamento, ma anche in ordine alla distribuzioni delle responsabilità tra i contitolari, oltre che alle gestioni corrette delle informazioni nei confronti degli interessati (l’accordo dovrebbe essere reso pubblico), tutti aspetti non facili da analizzare e da gestire. Uno degli aspetti critici può essere anche qui fornire le informazioni ai sensi degli artt. 13 e 14 del GDPR, si dovrà infatti specificare tutti gli elementi necessarie per l’esercizio dei diritti dell’interessato.

Ma è bene anche ricordare che l’accordo di contitolarità ha riflessi su tutto l’impianto del sistema di gestione della protezione dei dati personali delle parti coinvolte ed in particolare sul Registro delle attività di trattamento redatto ai sensi dell’art. 30 del GDPR e sulla Valutazione di Impatto redatta ai sensi dell’art. 35 del GDPR, occorrerà definire gli specifici trattamenti operati in regime di contitolarità, i ruoli e le responsabilità rispetto agli stessi, non ultimo si dovrà definire il punto di riferimento per gli interessati con conseguente coordinamento delle strutture privacy interne dei contitolari.

Il principio di responsabilizzazione e l’eccessivo ricorso all’accordo di designazione del responsabile del trattamento

Dall’altra, occorre non dimenticare che il nostro ordinamento giuridico, in osservanza del principio di responsabilizzazione (cosiddetta accountability), consente comunque di ricorrere ad accordi contrattuali tra le parti e considerando i soggetti coinvolti come autonomi titolari del trattamento, accordi non specificatamente disciplinati nel quadro normativo in materia di protezione dei dati personali, ma ugualmente validi e che consentirebbero di prevedere clausole di riservatezza oppure obblighi di svariata natura dall’obbligo di una dettagliata collaborazione in caso di violazione dei dati all’obbligo di consentire ispezioni periodiche.

Le situazione cui ci si riferisce solo al di fuori dei casi di obbligatorietà degli accordi di contitolarità o se sia necessario instaurare in rapporto titolare-responsabile, tale rapporto ricorre quando il margine di manovra del responsabile è limitato ad criteri e istruzioni dettagliate fornite del titolare (Art. 29 del GDPR e 2 quaterdecies del Codice della Privacy, si veda per una corretta interpretazione il parere sul ruolo dei consulenti del lavoro, Parere su quesito del 7 febbraio 2019).

In diversi contesti, un’attenta valutazione, anche tenuto in conto di conseguenze pratiche complesse e poco gestibili, potrebbe invece suggerire una via diversa scelta dove i soggetti terzi sono da considerarsi autonomi titolari del trattamento soggetti anch’essi a specifici obblighi anche contrattuali in materia di protezione dei dati. A questo riguardo, proprio il Regolamento UE 2016/679 prevede in modo molto più puntuale rispetto alla normativa previdente, una responsabilità solidale sia di natura risarcitoria sia amministrativa riferita ai titolari e ai responsabili coinvolti, sia dei contitolari, sia rispetto alle filiere di titolari del trattamento che possono essere convolti in un determinato trattamento[3].

Tale percorso, è bene ribadirlo sarebbe praticabile solo in assenza dei presupposti di obbligatorietà di formalizzare un accordo di contitolarità e in assenza di rapporto titolare-responsabile, sia essa anche dovuta alle complessità organizzative non gestibili in concreto oppure quando la negoziazione per l’accordo è stata infruttuosa e pertanto rimanendo in tali casi un rapporto tra titolari del trattamento (p.e. in caso di mancata accettazione della proposta di accordo).

Si ricorda infatti che per ricorrere al rapporto titolare-responsabile è necessario da una parte che il soggetto titolare assuma le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento, ma dall’altra che il responsabile non abbia un ampio margine di autonomia sia in ordine alle finalità sia anche solo in ordine alle modalità del trattamento, si ritiene infatti che il soggetto che abbia piena autonomia e discrezionalità anche sulle modalità di trattamento non sia in generale un responsabile, bensì un titolare autonomo (si veda anche Parere del Gruppo Articolo 29 del 16 febbraio 2010, WP169)

E’ bene anche ricordare, che da una parte si tratta pure sempre di una scelta organizzativa che deve portare ad un accordo con un altro soggetto, dall’altra parte ricorrendone le circostanze di cui sopra si potrebbe certamente prevedere degli obblighi contrattuali specifici tra titolare autonomi e indicando dettagliatamente questi ultimi nella categoria dei destinatari prevista tra le informazioni obbligatorie da fornire agli interessati ai sensi degli artt. 13 e 14 del GDPR, analogamente si potrebbe prevedere un sistema di cooperazione tra le strutture privacy e gli RPD dei rispettivi titolari.

Alla luce di quanto sopra, sarebbe opportuno porre molta attenzione alle scelte di designare responsabili del trattamento i soggetti esterni anche se questi in qualche misura operano apparentemente trattamenti dei dati strumentali rispetto al titolare del trattamento, analoga attenzione dovrebbe essere posta per gli accordi di contitolarità per le ragioni sopra esposte, dovendosi individuare ed analizzare gli specifici trattamento, tenendo in conto anche gli aspetti estremamente insidiosi sia nella fase di redazione degli accordi sia soprattutto nella fase successiva relativa alla gestione degli adempimenti informativi nei confronti degli interessati. Analogamente, anche il rapporto titolare-titolare è certamente molto ricorrente nella realtà, sebbene residuale rispetto alle figure tipizzate dell’accordo di contitolarità e dell’accordo del responsabile del trattamento, andrebbe valutato attentamente prevedendo forma contrattuali e un impianto di tutela che garantisca e sia in grado di dimostrare la conformità nell’ottica di piena tutela degli interessati.

____________________________________________________________________________________

  1. Si riporta la citazione dell’art.14 comma 5 per una migliore comprensione “[…]5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:a) l’interessato dispone già delle informazioni;b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure

    d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.”

  2. La nozione di Responsabile del trattamento nel contesto della citazione deve essere intesa come Titolare trattamento, questo a causa dell’annosa asimmetria presente tra la normativa europea e quella italiana, asimmetria eliminata con la versione tradotta in italiano del Regolamento UE 2016/679.
  3. Nell’ambito del risarcimento del danno, il comma 4 dell’art. 82 del Regolamento UE 2016/679 prevede quanto segue: “4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.”. Analogamente, il considerando 146 del Regolamento richiama il principio di solidarietà del risarcimento del danno anche tra i titolari del trattamento autonomi.
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articoli correlati