
Titolari, Contitolari e Responsabili del trattamento: le nuove linee guida dell’EDPB
9 Dicembre 2020
In occasione della sua 37° sessione plenaria, il Comitato europeo per la protezione dei dati, European Data Protection Board (di seguito EDPB), ha adottato le Linee guida n. 07/2020 relative ai concetti di Titolare, Contitolare e Responsabile del trattamento, così come disciplinati nel Reg. UE 2016/679 (di seguito GDPR), le quali sostituiscono l’opinion 1/2010 dell’ex WP29
Con l’entrata in vigore del GDPR, sono state sollevate in questi anni molte perplessità in merito agli effetti del Regolamento stesso su tali concetti, soprattutto sulla nozione di Contitolare del trattamento ai sensi dell’art. 26 GDPR e sugli obblighi derivanti dalla qualifica di Responsabile del trattamento ai sensi dell’art. 28 GDPR.
L’obiettivo delle Linee guida 07/2020 è dunque proprio quello di chiarire in modo univoco il significato di tali definizioni, così da garantire un’applicazione uniforme del Regolamento in tutta l’Unione Europea.
La corretta identificazione dei ruoli di titolare, responsabile e contitolare del trattamento, sta alla base del sistema di gestione privacy in quanto consente di individuare i soggetti che in prima persona sono chiamati al rispetto della normativa in materia di protezione dei dati. Essi sono concetti “funzionali”, che mirano ad allocare la responsabilità in relazione ai ruoli effettivamente svolti dalle parti in uno specifico contesto e non sulla base di una designazione formale degli stessi.
Dopo questa doverosa premessa, analizziamo di seguito gli aspetti principali delle Linee guida 07/2020.
Definizione di Titolare del trattamento
Nella prima parte delle Linee guida 07/2020, l’EDPB esamina nel dettaglio i concetti di titolare, contitolare e responsabile del trattamento.
Chi è il Titolare del trattamento?
L’art. 4.7 del GDPR definisce Titolare del trattamento “la persona fisica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Da tale definizione è possibile individuare cinque elementi costitutivi principali, sui quali occorre focalizzare l’attenzione:
- la persona fisica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo ovvero il soggetto
- determina
- singolarmente o insieme ad altri
- le finalità e i mezzi
- del trattamento di dati personali.
Il titolare del trattamento è dunque colui che decide alcuni degli elementi chiave del trattamento, ovvero colui che detiene il potere decisionale con riferimento alle finalità e ai mezzi del trattamento di dati personali. Potere decisionale che può derivare tanto da una disposizione di legge quanto da circostanze di fatto concrete.
Ma cosa significa determinare le finalità e i mezzi?
Secondo l’EDPB, equivale a decidere rispettivamente il “perché” e il “come” del trattamento, vale a dire rispettivamente, il motivo per il quale ha inizio un trattamento e le modalità con le quali il trattamento stesso deve essere svolto per raggiungere l’obiettivo.
Al contrario, il responsabile del trattamento ex art. 28 GDPR, non determina mai le finalità del trattamento, ed è proprio su tale aspetto che si innesta la sostanziale differenza tra i due ruoli.
Al contempo, tuttavia, l’EDPB riconosce un certo margine di autonomia al responsabile del trattamento in relazione ad alcune questioni tecniche ed organizzative definite “non essenziali”. Lo stesso ritiene infatti che possa essere attribuita una parte di potere decisionale al responsabile del trattamento esclusivamente con riferimento ai mezzi, il che significa ad esempio delegare al responsabile la scelta su un tipo di hardware o software.
Definizione di Contitolare del trattamento
Sebbene il concetto di contitolare del trattamento non sia nuovo, il GDPR, introduce all’art. 26 alcune regole specifiche, definendo un quadro ben preciso per governare il rapporto tra contitolari.
Ai sensi dell’art. 26 GDPR “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. [..].”
Elemento principale affinché vi sia contitolarità tra due soggetti è dunque il fatto di determinare congiuntamente finalità e mezzi del trattamento. Ciò significa che in assenza della partecipazione di una delle due parti, il trattamento non sarebbe di fatto possibile: il trattamento svolto da ciascuna parte viene pertanto considerato inscindibile, ovvero inestricabilmente legato.
Esempio
Per meglio comprendere la nozione di contitolare del trattamento, l’EDPB fornisce una serie di esempi, tra i quali citiamo l’interessante caso relativo alle operazioni di marketing: le aziende “A” e “B”, dopo aver lanciato in co-branding un prodotto “C”, desiderano organizzare un evento promozionale. A tal fine, decidono di condividere i dati dei rispettivi clienti e dei database dei potenziali clienti, così da definire insieme l’elenco degli inviati all’evento. Le due aziende concordano inoltre sulle modalità di invio degli inviti relativi all’evento, nonché su come raccogliere i vari feedback e sulle azioni di marketing di follow-up.
Possono essere considerate contitolari con riferimento a tale trattamento specifico? Sì, in quanto determinano insieme le finalità ed i mezzi essenziali del trattamento.
Diverso è invece il caso in cui due società utilizzino un data base condiviso per svolgere operazioni di marketing. Lo stesso EDPB precisa infatti che, l’uso di un sistema di infrastruttura IT o di un data base in comune, non è di per sé sufficiente a qualificare i soggetti coinvolti come contitolari del trattamento.
Definizione di responsabile del trattamento
Il concetto di responsabile del trattamento è definito dall’art. 4.8 del GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Le due condizioni essenziali affinché un soggetto possa essere qualificato responsabile del trattamento sono:
- essere un soggetto distinto rispetto al titolare del trattamento, ovvero un’organizzazione esterna;
- trattare dati personali per conto del titolare.
Questo ultimo requisito si traduce nell’obbligo, per il responsabile del trattamento, di trattare dati solo ed esclusivamente su istruzione documentata del titolare. Alla base, dunque, del rapporto tra titolare e responsabile del trattamento vi deve essere un “contratto”, in grado di definire il perimetro di azione di quest’ultimo.
Lo stesso art. 28 del GDPR, nel definire appunto gli obblighi del responsabile del trattamento, precisa che se un responsabile viola le istruzioni del titolare, determinando autonomamente finalità e mezzi, sarà da considerarsi titolare del trattamento in questione.
Un esempio di responsabile del trattamento ex art. 28 GDPR è sicuramente un fornitore di servizi Cloud.
Rapporto tra titolare e responsabile del trattamento
Nella seconda parte delle Linee guida 07/2020, l’EDPB focalizza la sua attenzione sulle relazioni esistenti tra i vari soggetti privacy e le conseguenze relative all’attribuzione dei diversi ruoli.
In particolare, per quanto riguarda il rapporto esistente tra titolare e responsabile del trattamento, l’EDPB ricorda come l’art. 28 del GDPR impone al titolare di ricorrere unicamente a responsabili del trattamento “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Ma che cosa si intende per garanzie sufficienti?
Al momento della scelta di un fornitore esterno al quale delegare un determinato trattamento di dati, l’EDPB, suggerisce ai titolari del trattamento di tenere in particolare considerazione i seguenti aspetti: l’affidabilità del fornitore, le conoscenze specifiche nonché ad esempio l’adozione a codici di condotta o meccanismi di certificazione.
Come accennato sopra, tale rapporto deve essere regolato da un “contratto” o da un “atto” giuridico scritto, avente forza vincolante tra le parti.
Quale contenuto deve avere il contratto?
A tal proposito, l’EDPB, ricorda come titolare e responsabile del trattamento, possono negoziare il contenuto del contratto ovvero possono basare il loro rapporto, in tutto e in parte, su delle clausole contrattuali standard (SCC). In ogni caso, la risposta a questa domanda ci viene fornita dallo stesso art. 28 del GDPR, il quale al terzo comma elenca i requisiti essenziali da prevedere all’interno del contratto stesso. Requisiti essenziali che possono sempre essere maggiormente dettagliati laddove necessario.
Rapporto tra contitolari del trattamento
Analogamente a quanto avviene tra titolare e responsabile del trattamento, anche il rapporto tra contitolari del trattamento deve basarsi su un atto scritto, che in questo caso si traduce in un “accordo interno”.
In assenza di precise indicazioni sul punto, l’EDPB suggerisce comunque di formalizzare tale rapporto sotto forma di un atto vincolante tra le parti, quale un “contratto” o un “atto” giuridico.
Mediante tale accordo, le parti, ovvero i contitolari del trattamento, possono determinare in modo trasparente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR relativamente all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 del GDPR.
Lo stesso art. 26 del GDPR prevede inoltre che il contenuto essenziale dell’accordo di contitolarità sia messo a disposizione degli interessati.
Come?
Ad esempio, mediante l’introduzione del contenuto nelle informative ex artt. 13 e 14 GDPR, oppure attraverso la pubblicazione in apposite Privacy Policy o in specifiche sezioni del sito internet.
Sul punto, l’EDPB, conclude ricordando come l’interessato, indipendentemente dal contenuto dell’accordo di contitolarità, può decidere di esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento, non essendo tale accordo vincolante nei confronti dell’interessato.
Conclusioni
Le Linee guida 07/2020 rispondo dunque all’esigenza di chiarire con precisione il significato di tali concetti e la loro concreta applicazione, anche attraverso numeri esempi in grado di offrire interessanti spunti di riflessione.
Il team di Mondo Privacy è pronto a fornirti il supporto necessario per affrontare con precisione questa fondamentale tematica. Contattaci!