Le nuove linee guida dell’EDPB tra puntuali chiarimenti ed efficaci esemplificazioni

Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) –  organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità di controllo –  ha adottato le linee guida 7/2020 lo scorso 21 luglio 2021 all’esito di una consultazione pubblica, fornendo una definizione uniforme non solo di responsabile e titolare del trattamento ma anche del rapporto di contitolarità del trattamento.

Le nuove Linee Guida sostituiscono le precedenti linee guida del gruppo di lavoro 29 (cosiddetto Working Party 20) del febbraio 2010.

Le linee guida 7/2020 sono articolate in due sezioni principali di cui la prima, con riferimento al trattamento dei dati personali, identifica i ruoli di titolare, contitolare, responsabile e terzi/riceventi, e la seconda descrive le principali implicazioni connesse al trattamento.

Gli elementi essenziali per la definizione di titolare e di responsabile del trattamento non sono stati sostanzialmente innovati rispetto a quanto previsto nella direttiva 95/46, ma il lavoro dell’EDPB si pone in un’ottica di chiarezza fornendo in apertura due concetti fondamentali da tenere a mente nell’interpretazione dei ruoli: funzionalità e autonomia.

Funzionalità nell’intendere il ruolo in relazione alla specifica attività di trattamento svolta e non in modo assoluto e autonomia nel senso di indipendenza da concetti di titolarità formulati in altre aree del diritto evitando così trasposizioni automatiche che potrebbero risultare fuorvianti.

Il Titolare del trattamento

Il Comitato ha fornito specifici chiarimenti partendo dal ruolo di Titolare del trattamento e prendendo le mosse dal disposto dell’art. 4 n. 7 GDPR per cui Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

Il criterio della funzionalità nell’interpretazione dei concetti viene ribadita al punto 12 delle linee guida dove si specifica che l’allocazione dei ruoli non è negoziabile tra le parti e l’individuazione del titolare deve avvenire o in base all’effettiva influenza esercitata dal soggetto sul trattamento, oppure desunto da una competenza legale quando il titolare o gli specifici criteri per la sua nomina siano stabiliti dalla legislazione dell’Unione Europea o di uno Stato membro.

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, sono suscettibili di essere definiti anche dal  responsabile del trattamento.

Con riferimento invece all’elemento soggettivo, è confermato che, anche nel caso in cui l’entità titolare del trattamento decida di designare una persona specifica al fine di garantire la compliance con la normativa privacy, questo soggetto non sarà il titolare del trattamento che agisce per conto dell’entità che rimarrà comunque unico titolare del trattamento.  

Analogamente non è titolare del trattamento un particolare dipartimento o unità organizzativa cui viene conferita dall’entità la responsabilità operativa di assicurare la conformità per certe attività di trattamento, rispondendo del trattamento concretamente eseguito dal dipartimento o dall’unità l’entità.

Così se un dipendente utilizzasse i dati personali acquisiti nell’esercizio della sua funzione aziendale per i scopi estranei a quelli prefissati dall’azienda/entità datrice di lavoro sarà quest’ultima, in quanto titolare del trattamento, a doversi assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l’informazione dei dipendenti, per garantire il rispetto del GDPR e a rispondere di eventuali trattamenti difformi se non illeciti da parte del dipendente incauto, non istruito, infedele.

Il Contitolare del trattamento

Il criterio “generale” per l’esistenza di una contitolarità del trattamento è la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali: the why and how.

Ma non è così semplice risultando spesso complesso nella pratica individuare la sottile linea che corre tra titolarità autonoma e contitolarità.

La determinazione congiunta delle finalità e dei mezzi può avvenire o mediante una decisione comune oppure mediante decisioni convergenti ove le decisioni dei contitolari sono tra loro complementari e necessarie per l’esistenza del trattamento stesso, tale che senza l’uno il trattamento non sarebbe possibile e il trattamento di ciascun contitolare è inscindibile e inestricabilmente legato (inexitricably linked) a quello di altro/i contitolare/i.

Torna anche qui la distinzione tra mezzi essenziali e non essenziali dovendo il Contitolare del trattamento necessariamente decidere in ordine ai primi potendo lasciare margine di manovra sui secondi al Responsabile del trattamento.

Se manca la condivisione della finalità e dei mezzi essenziali non potrà esserci contitolarità ma vi saranno, se del caso, rapporti tra autonomi titolari o tra titolare e responsabile, non essendo sufficiente per qualificarsi come finalità del trattamento, e dunque per configurare contitolarità, la mera esistenza di un beneficio economico o commerciale comune tra le parti (punti 60 e 66 linee guida).

Questa ipotesi si verifica ad esempio nel caso di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri.

Per comprendere se le decisioni possano essere considerate convergenti occorre chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere sia inseparabile o inestricabilmente legato al trattamento dell’altra parte.

Ai sensi dell’art. 26 GDPR i contitolari del trattamento devono redigere un accordo interno (cd. accordo di contitolarità) e nonostante non venga esplicitamente indicata la forma che tale accordo dovrebbe avere (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) l’EDPB raccomanda l’adozione di un atto scritto che vincoli le parti, anche in ossequio al principio di accountability.

Come specificato dall’EDPB, l’accordo deve contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati (punto 173 linee guida) nonché le decisioni concordate, anche operative, affinché tutte le fasi del trattamento in contitolarità siano compliant rispetto al GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento.

Il Responsabile del trattamento

Il Responsabile del trattamento, soggetto necessariamente distinto dal Titolare del trattamento, è definito all’art. 4 n. 8 del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Anche il ruolo di Responsabile del trattamento, così come per il Titolare, si delinea in base alle attività concrete tenuto conto di uno specifico contesto: l’EDPB precisa quindi che qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il Responsabile potrebbe determinare autonomamente finalità e mezzi, e sarà quindi da considerare quale Titolare del trattamento in questione.

Per quanto riguarda il rapporto fra Titolare e Responsabile del trattamento l’EDPB ricorda come è necessario che il Responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, suggerendo quindi ai Titolari del trattamento di tenere in considerazione l’affidabilità del fornitore del servizio, le conoscenze specifiche e la possibilità di esercitare un sufficiente grado di controllo sull’attività svolta dal Responsabile, equiparando tale verifica preliminare ad una valutazione del rischio.

L’accordo tra il Titolare e il Responsabile deve rispettare i requisiti essenziali di cui all’art. 28 del GDPR e, come suggeriscono le linee guida, adottare clausole standard (par. 7 e 8 art. 28 GDPR) in caso di squilibrio del potere contrattuale fra le due figure non potendo una condizione di questo tipo portare alla cieca accettazione di clausole non conformi alla normativa sulla protezione dei dati.

Coautore Livia Nardinocchi

Scritto da
Ruggero De Simone