Le linee guida del Comitato europeo per la protezione dei dati sui concetti di titolare del trattamento e responsabile del trattamento
Lo scorso settembre il Comitato europeo per la protezione dei dati ha rilasciato le “Linee guida 07/2020 sui concetti di titolare del trattamento e responsabile del trattamento nel Regolamento generale sulla protezione dei dati personali (RGPD o GDPR secondo l’acronimo inglese)” aprendole ai commenti degli operatori.
Le nuove linee guida sostituiscono l’Opinione 1/2010 del Gruppo di Lavoro Articolo 29 che essendo antecedenti all’entrata in vigore del Regolamento (Ue) 2016/679 necessitavano di una revisione soprattutto alla luce dei dubbi interpretativi emersi nei primi anni di applicazione del Regolamento.
Le questioni principali affrontate dal Comitato vertono: (1) sul livello di modifiche che il GDPR ha introdotto nei concetti di titolare e responsabile del trattamento e sui rispettivi ruoli; (2) sulla sostanza e le implicazioni del concetto di contitolarità del trattamento; (3) sugli specifici obblighi a carico del responsabile;
Le definizioni dei ruoli di titolare e responsabile del trattamento sono di fondamentale importanza alla luce dell’attribuzione delle responsabilità relative alla protezione dei dati. Proprio dal principio di responsabilità (accountability) ex art. 5 (2) del GDPR, infatti, il Comitato prende le mosse per spiegare la necessarietà dell’intervento chiarificatore.
La definizione di titolare
Le linee guida definiscono il concetto di titolare partendo da criteri di tipo funzionale che si articolano in cinque elementi fondanti che si ricavano dall’art. 4 (7) del GDPR:
- persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo;
- determina;
- singolarmente o insieme ad altri;
- le finalità e i mezzi;
- il trattamento dei dati personali;
Riguardo al primo criterio, le linee guida individuano i tipi di entità che possono essere definite titolari del trattamento attraverso una definizione piuttosto ampia. Un titolare dunque può essere un individuo o un’organizzazione, ma anche, come nel caso della decisione della Corte di Giustizia Jehovah’s witnesses, C-25/17, ECLI:EU:C:2018:551, una comunità di individui.
Soprattutto si chiarisce che anche se all’interno di un’organizzazione l’organigramma attribuisce a uno specifico soggetto la gestione del trattamento, titolare secondo il GDPR sarà sempre l’organizzazione e non il soggetto designato.
Riguardo al secondo criterio, “determina”, le linee guida specificano che fa riferimento all’influenza che il titolare esercita attraverso il potere decisionale sul trattamento. Tale analisi si svolge attraverso criteri di analisi sostanziale e non meramente formali. Le linee guida individuano due criteri: 1) il controllo derivante da disposizioni di legge; 2) il controllo derivante da un’influenza di tipo fattuale;
Nel primo caso l’individuazione viene effettuata in base agli obblighi derivanti da una disposizione legislativa.
Nel secondo caso si deve fare riferimento alle circostanze fattuali relative al trattamento. Per facilitare l’individuazione del titolare, l’Autorità chiarisce che può farsi riferimento in prima facie a una verifica formale come le previsioni contenute negli accordi contrattuali intervenuti tra le parti coinvolte. Tale analisi, tuttavia, non è da sola sufficiente in quanto la definizione funzionale del titolare del trattamento data dal Regolamento richiede un’analisi di tipo sostanziale che individui colui che concretamente influenzi, attraverso l’esercizio del potere decisionale, il trattamento. Di conseguenza le definizioni contenute in un contratto non sono sufficienti ad esimere un soggetto dalla responsabilità come titolare del trattamento alla luce del GDPR.
Il terzo criterio stabilisce che il titolare può essere un soggetto singolo o più soggetti in quanto le “finalità e i mezzi” del trattamento possono essere determinate da più attori.
Il quarto criterio “finalità e i mezzi” descrive cosa un soggetto deve determinare per essere qualificato titolare. Il Comitato specifica che un soggetto non può limitarsi a definire le finalità del trattamento, ma deve necessariamente anche determinare i mezzi, ovverosia le modalità, con cui intende procedere. Al fine di distinguere i mutevoli e numerosi rapporti che possono instaurarsi nella pratica tra titolare e responsabile l’autorità chiarisce che sussiste una differenza tra mezzi essenziali e non essenziali. I “mezzi essenziali” sono strettamente legati allo scopo e alla portata del trattamento e pertanto sono riservati al titolare. I “mezzi non essenziali” invece fanno riferimento principalmente ad aspetti pratici relativi allo svolgimento del trattamento e questi possono essere lasciati al responsabile (anche se il titolare dovrà comunque considerare certi elementi come, ad esempio, quelli relativi la sicurezza).
Il quinto criterio collega le finalità e i mezzi con il trattamento dei dati personali. Tale criterio stabilisce che un titolare può essere considerato tale sia se collegato all’intero trattamento sia a una parte. Inoltre per essere considerati titolari secondo il GDPR l’accesso ai dati non è strettamente necessario.
La contitolarità del trattamento
Riguardo alla contitolarità l’Autorità prende atto, rispetto alla precedente Opinione 1/2010, delle specificazioni contenute nell’art. 26 del GDPR e dell’evoluzione giurisprudenziale che hanno interessato la fattispecie. Per aversi contitolarità nella determinazione delle finalità e dei mezzi occorre che più soggetti esercitino una influenza decisiva sul trattamento come ad esempio mediante una decisione comune o convergente.
Una decisione è comune quando è assunta da entrambe le parti, mentre una decisione è convergente quando le differenti decisioni assunte dagli attori coinvolti sono complementari l’una all’altra e concorrono necessariamente insieme alla definizione dei mezzi e delle finalità del trattamento. Sul punto le linee guida richiamano le decisioni della Corte di Giustizia Wirtschaftsakademie, C-210/16, ECLI:EU:C:2018:388 e Fashion ID, C-40/17, ECLI:EU:2018:1039.
Al contrario dai casi sopra citati non sussiste una contitolarità nel caso in cui due o più attori siano coinvolti nello scambio di dati o nel trattamento degli stessi dati come elementi di un processo a catena e nel caso di utilizzo dello stesso database o infrastruttura se gli attori determinino in modo indipendente ciascuno il proprio scopo.
La definizione di responsabile
Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4 (8) del GDPR).
Il Comitato identifica due requisiti essenziali per l’individuazione del responsabile:
- essere un’entità separata dal titolare;
- il trattamento deve essere svolto per conto del titolare;
Il primo requisito è soddisfatto nel caso in cui il titolare delega il trattamento a un’organizzazione esterna. Di conseguenza è escluso il caso in cui un attore decida di trattare i dati utilizzando risorse interne (compreso il caso di differenti dipartimenti della stessa organizzazione).
Il secondo requisito indica che il trattamento deve essere svolto per conto e, di conseguenza, a beneficio del titolare. Il responsabile che tratta i dati, quindi, deve servire l’interesse del titolare secondo uno schema tipico della delega.
Il Comitato sottolinea che tali requisiti dovranno necessariamente essere accertati caso per caso in quanto non è la natura dell’attore che determina il ruolo di responsabile, ma le concrete attività esercitate in un contesto specifico. Di conseguenza un responsabile che dovesse eccedere la propria delega potrebbe essere qualificato e rispondere come titolare.
Conseguenze sull’assegnazione dei ruoli
La parte finale delle linee guida si concentra sulle conseguenze derivanti dall’essere definito titolare o responsabile e sull’atto di designazione del responsabile.
Riguardo alla nomina, le linee guida stabiliscono che il titolare ha il dovere di selezionare solo i responsabili che possono fornire garanzie sufficienti per l’implementazione di misure tecniche e organizzative adeguate ai requisiti del GDPR. Tale verifica è equiparata a una vera e propria valutazione del rischio. Inoltre, tale obbligo di verifica è continuo e non si esaurisce nella fase della scelta, ma deve sussistere per tutta la durata del trattamento.
Riguardo all’atto si stabilisce il principio che ogni trattamento fatto da un responsabile dovrebbe essere governato da un contratto o altro tipo di atto previsto dalle leggi degli Stati membri. Inoltre, si dovrà necessariamente trattare di un atto scritto.
Nè lo squilibrio contrattuale tra le parti nè l’utilizzo di contratti predisposti unilateralmente dal responsabile esimono il titolare dall’effettuare la verifica anzidetta. Ogni modifica a tale tipo di accordi deve essere prontamente notificata e accettata dal titolare.
Le linee guida 07/2020 possono essere consultate in forma integrale (in inglese) sul sito del Comitato europeo per la protezione dei dati:
