le linee guida

Titolare, responsabile e contitolare del trattamento dati: i chiarimenti dell’EDPS

Lo European Data Protection Supervisor ha approvato il provvedimento recante le linee guida sui concetti di Titolare, Responsabile, contitolarità alla luce del Regolamento (UE) 2018/1725. Si tratta di uno strumento utile per ciascuno dei soggetti coinvolti chiamati a rispettare il principio cosiddetto di “accountability”

23 Dic 2019
Ersilia Lazzara

avvocato, Studio Legale Chiomenti

Giulio Vecchi

avvocato, Studio Legale Chiomenti


Una delle tematiche centrali della protezione dei dati personali è rappresentata dalla definizione dei ruoli tra le parti coinvolte in un trattamento. La questione, che in alcuni casi ha una soluzione banale, in altri casi si presenta alquanto complessa e richiede un esame approfondito in merito al potere che ciascuna parte può esercitare in relazione alla definizione delle modalità e delle finalità, nonché dei rapporti con tutti i soggetti, a diverso titolo coinvolti (partner, fornitori, società appartenenti al medesimo gruppo, etc.).

In questo contesto appare, pertanto, rilevante il provvedimento approvato dallo European Data Protection Supervisor (“EDPS”) e recante le linee guida sui concetti di Titolare, Responsabile, contitolarità alla luce del Regolamento (UE) 2018/1725 (“Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725”) (“Linee Guida”).

Il provvedimento del 7 novembre 2019, pur focalizzandosi sul Regolamento (UE) 2018/1725 e diretto a disciplinare la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati (“Regolamento 1725”), fornisce utili strumenti interpretativi applicabili anche fuori dallo stretto ambito di applicazione del predetto Regolamento 1725 che è individuato nel trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell’Unione (art. 2 par. 1).

Fatta questa premessa, ai fini di una corretta ricostruzione delle nozioni giuridiche di Titolare, Responsabile e Contitolare del trattamento non può prescindersi da una lettura delle norme di cui al Regolamento 1725 in combinato disposto con il Regolamento Generale sulla protezione dei dati personali n. 679/2016 (“GDPR”) che pure inquadra i ruoli definendo un nuovo perimetro di obblighi, oneri e responsabilità.

Le Linee Guida, destinate alle istituzioni, oltre a chiarire più diffusamente tali concetti forniscono chiarimenti sulla distribuzione degli obblighi e delle responsabilità con particolare riferimento alla gestione delle richieste di esercizio dei diritti da parte dell’interessato.

Rappresentano, ad avviso dello stesso EDPS, uno strumento utile per ciascuno dei soggetti coinvolti chiamati a rispettare il principio cosiddetto di “accountability” e, nonostante l’ambito di applicazione sopra individuato, permettono di meglio interpretare gli obblighi di cui al GDPR.

Il concetto di Titolare del trattamento

Ai sensi del Regolamento 1725 (art. 3, par. 8) il Titolare del trattamento è:

  • l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che,
  • singolarmente o insieme ad altri,
  • determina le finalità e i mezzi del trattamento di dati personali.

Il Regolamento 1725 precisa che quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell’Unione (e.g. una direttiva o un regolamento), il Titolare del trattamento o i criteri per la sua individuazione possono essere stabiliti dal diritto dell’Unione.

Tale definizione non differisce in modo sostanziale da quella contenuta all’art. 4 par. 7 del GDPR, se non per il fatto che quella del GDPR è una norma di portata generale e come tale qualifica come Titolare non solo le istituzioni o le entità nelle quali queste ultime si declinano, ma altresì qualsiasi “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo”. Dalle due definizioni emerge, tuttavia, che la qualifica di Titolare è connessa alla facoltà di determinare quali informazioni trattare, come trattarle e per quali finalità.

Se il Regolamento 1725 descrive un perimetro netto di soggetti che possono rivestire il ruolo di Titolare del trattamento, la norma del GDPR – la cui portata è ampia – potrebbe lasciare un maggiore spazio interpretativo rispetto ai soggetti che potrebbero rivestire la qualifica di Titolare. Altri elementi individuano gli elementi caratterizzanti tale figura. In particolare:

  • il concreto controllo che il soggetto ha, e mantiene, sull’intero processo di trattamento. Per valutare tale effettiva influenza si dovrebbe poter rispondere ai seguenti quesiti:

(a) perché avviene il trattamento?

(b) chi è il soggetto che ha avviato il trattamento?

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

(c) chi è il soggetto che beneficia del trattamento?

Tale controllo può derivare da specifici obblighi normativi che gravano sul soggetto Titolare del trattamento ovvero da implicite competenze, in questo caso il ruolo di Titolare non è ritualmente specificato a livello normativo, ma può essere desunto da circostanze concrete. Un esempio è rappresentato dalle previsioni contenute nel Regolamento UE n. 726/2004 che disciplinano l’Agenzia Europea per i Medicinali (European Medicines Agency o “EMA”). Tale normativa non riconosce all’EMA il ruolo ufficiale di Titolare del trattamento, tuttavia per le attività che la stessa svolge – ossia la gestione di taluni database – tratta dei dati personali e, per tale trattamento, assume specifiche responsabilità. Appare evidente, quindi, come tale soggetto sia qualificabile quale “Titolare” del trattamento.

La determinazione di finalità e modalità del trattamento

Tale requisito implica che il soggetto definisca lo scopo o gli scopi per i quali un determinato trattamento è effettuato. Per quel che concerne la determinazione delle modalità bisogna considerare, invece, che tale concetto deve prendere in considerazione non solo il modus attraverso cui il trattamento è svolto, in termini di strumenti, ma altresì le misure tecniche e organizzative che vengono utilizzate e/o definite dal Titolare. Nel parere 1/2010 l’Article 29 Working Party (oggi European Data Protecion Board) ha chiarito che nel concetto di modalità (o strumenti) non rientrano soltanto i mezzi tecnici, ma “anche [il] come del trattamento, cioè “quali dati saranno trattati”, “quali terzi avranno accesso ai dati”, “quando tali dati saranno eliminati”, ecc.”. Pertanto, “mentre la determinazione delle finalità del trattamento farebbe scattare in ogni caso la qualifica di [Titolare] del trattamento, la determinazione dei mezzi implicherebbe una responsabilità solo qualora riguardi gli aspetti essenziali dei mezzi”.

Le obbligazioni e le responsabilità del Titolare

Il principale obbligo in capo al Titolare è quello di dimostrare (e di essere in grado di dimostrare) che il trattamento sia conforme al Regolamento 1725. In tal senso, l’articolo 26, par. 1 del Regolamento 1725 stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento”. L’adozione delle misure tecniche e organizzative deve tenere conto della natura, dell’ambito di applicazione, delle finalità del trattamento, nonché di quello che, probabilmente, rappresenta il principale driver della valutazione del Titolare ossia l’esame dei rischi per i diritti e le libertà delle persone fisiche. Deve, inoltre, prevedere “l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento” (art. 26, par. 2).

Sotto il profilo della definizione delle responsabilità si rileva una divergenza tra il Regolamento 1725 e il GDPR: mentre il primo prevede, in favore di chi subisca un danno materiale o immateriale causato dal una violazione delle norme sulla protezione dei dati personali, il diritto al risarcimento del danno dall’istituzione nel rispetto delle condizioni previste dai trattati (art. 65 del Regolamento 1725), il secondo contempla invece il diritto al risarcimento del danno da parte del Titolare o alternativamente del Responsabile (art. 82 del GDPR). È tuttavia chiaro che anche nel caso della individuazione delle responsabilità ai sensi del GDPR non si potrà non tenere conto di eventuali norme di legge nazionali o sovranazionali che potrebbero rappresentare scriminanti rispetto alle azioni poste in concreto dal Titolare o dal Responsabile.

Il concetto di Responsabile

L’art. 3 (12) del Regolamento 1725 definisce il Responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Analoga definizione si riscontra nel GDPR all’art. 4 (8). In sostanza due sono gli elementi principali che caratterizzano tale figura:

  • la natura del soggetto che, come emerge dalla normativa sopra richiamata, identifica il responsabile in un novero di soggetti;
  • la natura – da intendersi come modalità – delle prestazioni rese: il Responsabile agisce “per” il Titolare e ciò implica che l’attività che presta è eseguita attenendosi rigorosamente alle istruzioni del Titolare, almeno in relazione alle finalità e agli aspetti essenziali delle modalità di esecuzione dei compiti demandati. È, infatti, possibile che il Responsabile del trattamento abbia un margine di autonomia nello svolgimento delle proprie attività, purché tale autonomia non attenga ai predetti aspetti essenziali. A titolo esemplificativo, il Responsabile potrà proporre l’adozione di specifiche misure (si pensi al caso di un outsourcer che decida di implementare specifiche misure di sicurezza alla propria piattaforma tecnologica), laddove di tale adozione ne sia data adeguata motivazione. Altrettanto possibile è il caso in cui il Responsabile “valichi” i confini delle attività ad esso demandate e per tale ragione venga qualificato come Titolare.

Gli art. 29 del Regolamento 1725 e 28 del GDPR disciplinano il rapporto Titolare-Responsabile. In entrambi i casi, si prevede che l’accountability debba manifestarsi sia nella individuazione del Responsabile, sia nella formalizzazione dei ruoli. Quanto alla scelta, il Titolare è tenuto a valutare soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Quanto alla definizione dei ruoli, si prevede che gli atti di designazione (“contratto o altro atto giuridico”) vincolino il Responsabile del trattamento, e regolino dettagliatamente il trattamento, la sua durata, le finalità, le categorie di dati personali e di interessati e i diritti di questi ultimi.

Andando oltre le previsioni contenute nelle norme, le Linee Guida raccomandano di inserire all’interno dell’accordo o dell’atto di designazione un ulteriore elemento di dettaglio, ossia le modalità attraverso le quali gli interessati potranno esercitare i diritti riconosciuti dalla normativa e alle quali i Responsabili dovranno dare evidenza nell’informativa da rendere ai sensi degli artt. 13 e 14 del GDPR.

Le obbligazioni e le responsabilità del Responsabile

Seppure gravato dalle obbligazioni assunte nei confronti del Titolare, la normativa sembra suggerire che l’ampiezza della sua responsabilità sia di portata più limitata rispetto a quella del Titolare del trattamento. In sostanza, mentre i Titolari del trattamento sono, in linea di principio, sempre responsabili per la violazione degli obblighi previsti dalla normativa e per gli eventuali danni cagionati a terzi (compresi quelli commessi dal Responsabile del trattamento), i Responsabili del trattamento rispondono solo ove abbiano agito al di fuori del mandato ricevuto, o se non abbiano ottemperato agli obblighi previsti dalla normativa, per la “porzione” del trattamento che agli stessi è stata demandata.

Il concetto di contitolare del trattamento

Oltre alle figure di Titolare e Responsabile, la normativa riconosce la “contitolarità” del trattamento: tale ipotesi si verifica nel caso in cui più attori condividano il ruolo del Titolare del trattamento (e così anche i relativi obblighi e responsabilità). L’Article 29 Working Party, nel parere 1/2010, aveva già chiarito come la Direttiva 95/46 – oggi abrogata – non escludesse la possibilità che diversi attori fossero coinvolti in diverse operazioni di trattamento di dati personali. Il concetto di Contitolare era, inoltre, già stato previsto nella definizione di Titolare (rectius il “responsabile” nella versione italiana del regolamento, “controller” nella versione inglese) ai sensi dell’art. 2, lettera d), del Regolamento 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari.

Analogamente, l’art. 26 del GDPR stabilisce che la definizione in forma congiunta delle finalità e dei mezzi del trattamento determina la contitolarità e che in tale ipotesi i Contitolari disciplinano mediante un accordo, diretto a descrivere le rispettive responsabilità sia verso l’interno, nei confronti degli altri titolari, con riferimento al rispetto degli obblighi normativi, sia verso l’esterno per quel che concerne il rilascio delle informazioni ai sensi degli artt. 13 e 14 del GDPR e l’esercizio dei diritti degli interessati.

In maniera del tutto analoga, l’art. 28, par. 1 del Regolamento 1725 stabilisce che vi è contitolarità “[a]llorché due o più titolari del trattamento o uno o più titolari del trattamento insieme a uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione determinano congiuntamente le finalità e i mezzi del trattamento”.

La contitolarità implica, in sostanza, che tutte le parti coinvolte – ciascuna per la propria porzione di trattamento o in ogni caso secondo la governance convenzionalmente stabilita – siano in grado di determinare finalità e modalità del trattamento e che tali aspetti siano condivisi dalle altre parti.

L’art. 28 del Regolamento 1725 chiarisce, inoltre (e in aggiunta rispetto a quanto previsto nel GDPR), come la contitolarità possa sussistere non soltanto tra le istituzioni e gli organi dell’Unione ma, altresì, con soggetti estranei al mondo delle istituzioni (e, pertanto, anche privati).

Le obbligazioni e le responsabilità dei Contitolari

La contitolarità implica obblighi specifici per le parti interessate che siano addivenute alla sottoscrizione di un accordo.

Sebbene la portata degli obblighi del Contitolare sia ampia, il considerando 50 del Regolamento 1725 pone la “chiara ripartizione delle responsabilità nell’ambito del presente regolamento” come condizione sine qua non per la protezione dei diritti e delle libertà delle persone interessate. La prospettiva incentrata sugli interessati è inoltre sottolineata dalla possibilità per i Contitolari di istituire un unico punto di contatto per facilitare l’esercizio dei diritti dell’interessato.

Ciascuno dei Titolari dovrebbe, inoltre, considerare il proprio ruolo – e le conseguenti responsabilità – in ragione delle diversi fasi in cui opera nell’ambito di ciascun trattamento (anche in ragione dei rapporti contrattuali, istituzionali o societari che intercorrono tra titolari): a titolo esemplificativo si potrebbe ipotizzare che uno dei Titolari sia deputato a gestire la raccolta dei dati, altri a coordinare la fase di trattamento nell’ambito dell’esecuzione di un contratto, altri infine per la gestione delle richieste degli interessati.

Con riferimento all’accordo di contitolarità, a cui si è già accennato, questo può assumere la forma di un contratto articolato o anche una forma meno complessa e focalizzata sui termini essenziali, come ad esempio un cosiddetto memorandum of understanding. Si rileva, inoltre, la possibilità di sottoscrivere accordi sui livelli di servizio (i cosiddetti Service Level Agreement o “SLA”) che forniscano le specifiche tecniche del trattamento. Le Linee Guida chiariscono come uno SLA possa essere considerato alla stregua di un accordo tra i contitolari purché contenga tutti gli elementi essenziali previsti dal Regolamento 1725.

Ferma restando la possibilità che ruoli e responsabilità vengano ulteriormente disciplinati da un atto normativo, l’accordo (e la sua genesi), quale sia la sua forma, dovrebbe rispettare le seguenti caratteristiche:

  • dovrebbe essere discusso e concordato da tutti i contitolari;
  • non può essere adottato unilateralmente da un organo/istituzione dell’Unione;
  • dovrebbe riguardare le operazioni rilevanti di trattamento e specifiche finalità;
  • dovrebbe riguardare l’oggetto, la durata, natura e le finalità del trattamento; nonché
  • dovrebbe riguardare le categorie di dati personali e di interessati coinvolti nelle operazioni di trattamento.

Conclusioni

Le Linee Guida e quanto sopra esposto mettono in luce come – a livello europeo e di conseguenza sul piano nazionale – debba essere posta grande attenzione alla qualificazione dei soggetti che, a vario titolo, trattano informazioni che rappresentano dati personali. Quello che emerge è come non ci si possa, né debba limitare a una mera qualificazione formale, ma come l’esercizio che ogni impresa, ente o organizzazione è chiamato a fare debba essere rivolto a un esame concreto della propria operatività e di quella dei propri partner commerciali o controparti istituzionali.

Sembra, pertanto, fermi i principi generali si possa e si debba avere una dimensione dinamica della ripartizione dei ruoli e dell’attribuzione delle responsabilità. Il nuovo quadro normativo dovrebbe quindi rappresentare un valore aggiunto in un’economia in costante evoluzione.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 2