Nei rapporti tra tra professionisti e fornitori, distinguere chi è titolare e chi responsabile del trattamento dei dati personali è un’operazione spesso difficile.
Nell’ottica di accountability dettata dal Reg. UE 679/2018 (GDPR), infatti, il titolare del trattamento deve poter dimostrare di aver adottato tutte le misure necessarie per essere compliant ai principi dettati dal Regolamento.
La mole pressoché infinita di transazioni commerciali nell’economia data driven, però, rende particolarmente problematica la definizione dei ruoli e l’attribuzione di responsabilità tra i soggetti coinvolti nel trattamento dei dati personali.
Per fornire un supporto pratico ai professionisti e ai fornitori che effettuano trattamenti dei dati personali, il Comitato europeo per la protezione dei dati (EDPB, ex Gruppo di lavoro art. 29, istituito dal GDPR al fine di contribuire all’applicazione coerente della normativa privacy) ha adottato nel settembre 2020 le Linee guida n. 7/2020 sui concetti di titolare e responsabile del trattamento nel GDPR.
Oltre a fornire chiarimenti sulle definizioni dettate dal GDPR, le Linee guida offrono molti esempi pratici, che possono rivelarsi fondamentali per inquadrare i ruoli e le responsabilità dei soggetti coinvolti, anche al fine di evitare possibili sanzioni da parte delle Autorità garanti.
SmartIUS ha raccolto in queste FAQ i dubbi più frequenti di professionisti e fornitori circa la qualificazione come titolari o responsabili.
Il titolare del trattamento
Il titolare del trattamento deve essere necessariamente una persona fisica?
NO. Lo stesso GDPR indica che non sussistono limitazioni circa la natura giuridica del soggetto che può assumere il ruolo di titolare. Il titolare, infatti, può essere una persona fisica, giuridica, un’autorità pubblica, un’agenzia o qualsiasi altro organismo (art. 4 n. 7 GDPR), purché il suo ruolo sia quello di determinare le finalità e i mezzi del trattamento dei dati personali.
Le Linee guida chiariscono, al riguardo, che se il trattamento viene effettuato nel contesto di un gruppo di società, sarà fondamentale valutare in concreto, come vedremo meglio in seguito, chi agisce in qualità di titolare e chi di responsabile.
Un esempio di scuola è quello della società controllata (responsabile) che elabora i dati per conto della controllante (titolare).
Cosa fa in concreto il titolare del trattamento?
Le Linee guida chiariscono anzitutto che le definizioni di titolare e responsabile sono autonome e soprattutto funzionali. Ciò significa che la ripartizione delle responsabilità deve essere effettuata in base ai ruoli di fatto svolti dalle parti.
Pertanto, al di fuori delle ipotesi in cui la titolarità derivi da disposizione di legge, la qualifica di un soggetto come titolare del trattamento deve effettuarsi sulla base di un’analisi fattuale, valutando cioè l’attività concretamente svolta nel contesto del trattamento.
È sufficiente il contratto per attribuire la funzione di titolare del trattamento?
NO. Come chiarito dall’EDPB, sebbene una valutazione delle clausole contrattuali possa aiutare ad identificare il titolare del trattamento, ciò non comporta un’automatica attribuzione di tale ruolo.
Infatti, ciò che viene in rilievo ai fini dell’accountability, è il ruolo in concreto svolto dal soggetto: se di fatto decide autonomamente le finalità ed i mezzi del trattamento, tale soggetto sarà considerato il titolare, anche se il contratto lo identifica come responsabile.
Possono esserci più titolari di un unico trattamento?
SI. Lo stesso art. 4, n. 7, del GDPR definisce “Titolare” il soggetto che “… da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali“. Il concetto di contitolarità del trattamento è pertanto espressamente riconosciuto dal GDPR.
Anche in questo caso, la valutazione dei ruoli deve essere basata su un’analisi fattuale.
Se, ad esempio, due o più parti assumono una decisione comune, in mancanza della quale il trattamento non sarebbe possibile, tali parti saranno considerate titolari del trattamento.
Nel rapporto tra professionisti e fornitori, quindi, possono esservi più titolari e più responsabili del medesimo trattamento.
Le Linee guida chiariscono che un soggetto è considerato contitolare del trattamento solo per le operazioni per le quali determina i mezzi e le finalità del trattamento.
Inoltre, la partecipazione congiunta non comporta necessariamente una presunzione di pari responsabilità dei contitolari, che deve essere valutata in concreto per ogni singola fattispecie.
Il responsabile del trattamento
Come si qualifica il responsabile del trattamento?
Partiamo, come sempre, dal GDPR: il responsabile del trattamento è la persona fisica, giuridica, l’autorità pubblica o l’ente che tratta dati personali per conto del titolare del trattamento.
Come per il titolare, dunque, anche per il responsabile non ci sono limiti circa la natura del soggetto che può assumere tale ruolo.
Il GDPR ammette anche le ipotesi in cui per un singolo trattamento siano nominati più responsabili del trattamento e che, con l’autorizzazione del titolare, il responsabile possa assumere uno o più subresponsabili.
È bene sottolineare che, se nominato, il responsabile del trattamento deve necessariamente essere un’entità separata rispetto al titolare del trattamento.
Cosa si intende per “trattare i dati per conto del titolare del trattamento”?
Significa che il responsabile deve trattare i dati personali a beneficio del titolare del trattamento, servendone l’interesse in base ai mezzi e alle finalità indicate da quest’ultimo.
Qualora il responsabile del trattamento dovesse compiere attività che esorbitino dalle istruzioni fornite dal titolare, determinando autonomamente le proprie finalità e i propri mezzi del trattamento, questi sarà considerato titolare in relazione a tale trattamento.
A prescindere dalla qualificazione, dunque, un fornitore o un professionista può assumere il ruolo tanto di titolare quanto di responsabile di un trattamento.
Come si individua l’attività del responsabile del trattamento?
Come per il titolare, le Linee guida hanno chiarito che per definire concretamente i ruoli del trattamento sia necessaria un’analisi fattuale sulle attività di fatto compiute dal responsabile.
Sarà infatti la natura del servizio concretamente fornito a determinare se l’attività compiuta dal soggetto interessato equivalga ad un trattamento effettuato per conto del titolare.
Le Linee guida evidenziano che un fornitore di servizi può agire in qualità di responsabile del trattamento anche se tale attività non è l’oggetto principale del servizio, a condizione che il cliente-titolare determini in concreto mezzi e finalità del trattamento.
Quali attività deve compiere il responsabile del trattamento?
Oltre alle indicazioni specifiche fornite dal titolare del trattamento, il responsabile è tenuto a rispettare alcuni obblighi previsti dal GDPR.
Il responsabile deve, infatti:
- tenere un registro dei trattamenti effettuati;
- mantenere un elevato livello di sicurezza tecnica e organizzativa;
- assicurarsi che i soggetti autorizzati al trattamento garantiscano massima riservatezza;
- nominare, se del caso, il responsabile della protezione dei dati (DPO);
- informare tempestivamente il titolare del trattamento in tutte le ipotesi di data breach (violazione dei dati personali).
Come avviene la nomina del responsabile del trattamento?
Ai sensi dell’art. 28 del GDPR, il titolare e il responsabile devono necessariamente predisporre un contratto o un altro atto giuridico che disciplini le attività del trattamento, che abbia forma scritta (anche elettronica).
Il contenuto del contratto può essere determinato autonomamente, con la possibilità però di ricorrere alle clausole contrattuali standard predisposte dalla Commissione europea o dalle Autorità garanti nazionali.
In ogni caso il contratto deve presentare un contenuto minimo, indicato dall’art. 28 GDPR, ossia:
- oggetto del contratto;
- durata e natura del trattamento;
- tipologia dei dati personali trattati;
- categorie di soggetti interessati;
- obblighi e diritti di titolare e responsabile.
Possono essere nominati dei subresponsabili?
Come anticipato, si. La nomina di uno o più subresponsabili, però, deve necessariamente essere sottoposta ad un’autorizzazione (generale o specifica) del titolare del trattamento.
Deve inoltre essere stilato un elenco dei subresponsabili, che va tenuto aggiornato durante tutta la durata dell’incarico.
Alcuni esempi pratici per distinguere tra titolare e responsabile nei rapporti con professionisti e fornitori
Il fornitore di servizi IT come contitolare del trattamento
Nella mia attività di consulenza e supporto IT ho spesso accesso ai dati personali che vengono trattati dalle società clienti. Come si qualifica la mia attività?
Pur non costituendo l’oggetto principale del servizio fornito dall’azienda di consulenza IT, diventa rilevante la circostanza che la stessa abbia sistematicamente accesso ai dati personali per l’esecuzione delle attività.
Il fornitore di servizi IT dovrà necessariamente essere considerato come un titolare di quel trattamento. Ciò in considerazione della sua autonomia nel trattare i dati personali, non dovendo effettuare un trattamento in base alle indicazioni dei clienti,
Sarebbe opportuno, pertanto, stipulare un accordo di contitolarità del trattamento tra il fornitore dei servizi IT e le società clienti.
Il ruolo dell’avvocato nel trattamento dei dati dei clienti
In quanto avvocato, sono spesso tenuto a trattare i dati personali dei miei clienti. Sono considerato titolare del trattamento, pur in mancanza di un espressa pattuizione in tal senso nell’atto di conferimento dell’incarico?
Ci troviamo dinanzi a un caso di scuola in cui viene il rilievo l’attività in concreto svolta dai soggetti del trattamento: la circostanza che lo studio legale agisca con un notevole grado di indipendenza nel trattare i dati dei clienti (ad esempio selezionandoli e catalogandoli in modo funzionale alla rappresentanza in giudizio) porta a considerare l’avvocato come titolare del trattamento, con ciò che ne consegue in quanto a doveri di informativa, raccolta dei consensi, etc.
Privacy e buste paga
Ho affidato la gestione del pagamento degli stipendi dei miei dipendenti ad un professionista esterno. Il professionista ha ampi margini di manovra nel trattare i dati personali che gli vengono comunicati. Come si qualifica il suo ruolo?
Fintanto che il datore di lavoro fornisce indicazioni specifiche sulle finalità del trattamento (es. chi pagare, quali importi, quali scadenze, etc.), e l’incaricato non può utilizzare i dati per le proprie finalità, si potrà individuare un rapporto titolare – responsabile del trattamento.
La circostanza che il professionista incaricato abbia potere decisionale circa alcune modalità del trattamento (ad es. quale software utilizzare) non incide sul suo ruolo di responsabile del trattamento. Ciò purché non vada oltre le indicazioni fornite dal titolare.
Privacy e marketing
La mia società “A” ha dato incarico alla società di marketing “B” di effettuare delle ricerche di mercato per approfondire gli interessi dei consumatori dei miei prodotti. Le ricerche si concretizzano in una serie di report contenenti dati statistici anonimi. Sono ancora considerato titolare del trattamento? (GDPR, ricerche di mercato e dati statistici)
SI. Se il fornitore di servizi di marketing si limita ad operare sulla base delle indicazioni fornite dalla società “A”, quest’ultima sarà considerata il titolare del trattamento, e “B” il responsabile.
Non viene in rilievo la circostanza che vengano restituiti dati anonimi, quanto piuttosto l’attività in concreto svolta dai due soggetti. La società “B” può trattare i dati solo secondo le finalità indicate dalla società “A”, non venendosi a creare alcuna alterazione dell’originario rapporto tra i soggetti del trattamento.
La mia agenzia di viaggi “A” collabora con una compagnia aerea “B” ed una catena di hotel “C”, alle quali comunica i dati personali dei clienti al fine di prenotare diversi pacchetti di viaggio. Come si individuano i vari soggetti del trattamento? (La collaborazione tra professionisti e fornitori del settore turismo)
In questo caso, poiché ciascuno tratta i dati per le proprie finalità e con i propri mezzi, siamo di fronte a tre distinti titolari di altrettanti trattamenti. Non si può parlare di contitolarità in quanto non sussistono finalità e mezzi comuni.
E se decidessimo di gestire congiuntamente una piattaforma sul web con la finalità comune di offrire pacchetti turistici e di ottimizzare le nostre attività di marketing?
In questo caso, stante la decisione congiunta di finalità e mezzi, i tre operatori saranno considerati contitolari del trattamento.
L’accesso ai dati personali da parte di terzi
La società fornitrice di servizi di pulizia “A” che opera quotidianamente presso il mio ufficio potrebbe occasionalmente avere accesso ai dati personali dei miei clienti. La società “A” può considerarsi responsabile del trattamento?
No, in quanto la società “A” deve considerarsi soggetto “terzo” rispetto al trattamento, che può occasionalmente avere accesso ai dati personali ma al quale il titolare deve fare espresso divieto di porre in essere attività di trattamento sui dati nello svolgimento delle proprie mansioni.
Il titolare è infatti tenuto ad assicurarsi che siano adottate misure di sicurezza adeguate per prevenire l’accesso ai dati da parte di terzi, eventualmente predisponendo appositi accordi di riservatezza.
In conclusione, l’esatta individuazione dei ruoli di titolare e responsabile del trattamento tra professionisti e fornitori è un presupposto fondamentale per una corretta applicazione del GDPR. Non solo: la precisa ripartizione delle responsabilità permette di ricostruire la catena del trattamento dei dati, a beneficio dell’utente finale ma anche degli operatori coinvolti.
* * *
Segui le guide SmartIUS per altri consigli pratici per la tua attività!