Il Garante Europeo dei Dati personali (EDPB) a metà settembre 2020 ha pubblicato una nuova linea guida sui concetti di titolare, contitolare e responsabile. Questo documento aiuta a rispondere ad alcune domande fornendo, al contempo, suggerimenti pratici.
- Quali sono i criteri per individuare un titolare, un contitolare o un responsabile del trattamento?
- Quali sono le responsabilità degli uni e degli altri?
- Qual è il contenuto dell’accordo di nomina a responsabile?
Partiamo, in primo luogo dalle definizioni:
- Il titolare del trattamento è la a persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali
- Il responsabile è colui che agisce per nome e conto del titolare, intendendo in tal senso, specificano le Linee Guida, operare nell’interesse di qualcun altro secondo il concetto di “delega”.
- La contitolarità, è una situazione particolare, in cui le finalità ed in mezzi del trattamento sono determinati in modo integrato da due o più soggetti. I contitolari del trattamento determinano e concordano i rispettivi compiti e responsabilità
Concentrandoci sulla relazione giuridica tra titolare e responsabile, l’elemento fondante evidenziato dal documento è, al solito, la centralità del principio di accountability: sono in capo al titolare e al responsabile (e ai contitolari) del trattamento tanto la responsabilità del rispetto del GDPR, quanto la capacità di dimostrare la propria conformità alla norma.
Come più volte sottolineato, e come vedremo più avanti, il richiamare il principio di accountability ha dirette ricadute pratiche sull’applicazione del GDPR.
Infatti, i concetti di titolare e responsabile sono funzionali, cioè mirano ad individuare le responsabilità secondo i ruoli effettivi e concreti assunti dalle parti in gioco.
In altre parole, lo status giuridico di titolare o responsabile del trattamento deve essere determinato dalle effettive attività svolte in una determinata situazione, piuttosto che su una designazione meramente formale.
Questo implica che eventuali nomine imposte da una parte all’altra, il rifiuto di sottoscrivere un accordo di nomina o, ancora più semplicemente, l’omessa nomina per semplice imperizia, non incidono in alcun modo sull’applicazione della norma e pertanto nei conseguenti obblighi e responsabilità.
Proprio in base a questo approccio sistematico l’EDPB precisa, quindi, come uno stesso soggetto possa agire contemporaneamente in qualità di titolare del trattamento per taluni trattamenti e come responsabile del trattamento per altri.
L’esempio pratico che portano le Linee Guida è quello dello studio legale (titolare per clienti diretti, e responsabile per esempio per i dipendenti di una società cliente), ma può benissimo essere esteso a gran parte dei professionisti (commercialisti, consulenti del lavoro, medici, consulenti, ecc)
Allo stesso modo sono opportuni alcuni ulteriori chiarimenti:
- le istruzioni del titolare al responsabile possono lasciare un certo grado di discrezionalità a quest’ultimo, consentendogli di scegliere la soluzione tecnica e organizzativa più adatta. I mezzi essenziali del trattamento li scegli il titolare; i mezzi non essenziali, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate (Esempi ne sono: la gestione delle buste paga, i pagamenti bancari, l’accounting) possono far capo al responsabile;
- un fornitore può agire quale responsabile del trattamento anche se l’elaborazione dei dati personali gestiti dal titolare non sia l’oggetto principale del servizio (è l’esempio del supporto tecnico informatico per l’assistenza ad un gestionale o genericamente al sistema informatico);
- d’altra parte, quando il trattamento svolto dal fornitore è meramente incidentale e la conseguente attività non incide sulla gestione dei dati, per esempio in caso di una consulenza tecnica per problemi software, non sussiste la figura del responsabile del trattamento.
Quel che è certo, evidenzia l’EDPB, è che il GDPR si applica anche quando nulla viene indicato nel contratto tra due soggetti: nel momento in cui, di fatto, vi è una parte che ha il potere di decidere il perché ed il come vengono elaborati dati personali, quella parte sarà un titolare del trattamento.
Tuttavia quest’ultima precisazione non deve portare a pensare che la redazione di un accordo scritto sia facoltativa, anzi l’EDPB chiarisce che l’assenza di un accordo scritto costituisce una violazione del GDPR, sanzionabile.
Non solo, ma le Linee Guida precisano anche che tale responsabilità è reciproca: sia il titolare che il responsabile del trattamento devono preoccuparsi tanto della presenza dell’accordo, quanto del corretto contenuto dello stesso.
Insomma, si il titolare del trattamento non provvede alla nomina, dovrà essere il responsabile a farsi parte diligente ed attivarsi in tal senso; diversamente, viene scritto esplicitamente nelle Linee Guida, l’autorità di controllo potrà imporre una sanzione amministrativa sia al titolare che al responsabile del trattamento
Infine, per quanto concerne il contenuto dell’accordo di nomina a responsabile del trattamento, il contratto non dovrebbe limitarsi a riformulare le disposizioni del GDPR.
Piuttosto, l’accordo dovrebbe includere clausole specifiche e concrete su come verranno soddisfatti i requisiti di cui al Regolamento e quale sia il livello di sicurezza necessario per il trattamento dei dati personali svolto in occasione dei rapporti commerciali tra titolare e responsabile.
Di particolare aiuto, per la comprensione di tutti questi aspetti è il diagramma di flusso proposto in allegato alle Linee Guida.
Possiamo quindi concludere con due ultime considerazioni.
La prima è che va da sé che gran parte delle indicazioni che sono state proposte in questo contributo trovano applicazione anche ai casi di contitolarità.
La seconda, che nell’ambito degli approfondimenti offerti dalle Linee Guida, risulta essere rimasto fuori un maggior chiarimento (probabilmente demandato alle singole Autorità nazionali) sul ruolo e sulle conseguenti istruzioni dei c.d. soggetti autorizzati al trattamento di cui all’art. 2-quaterdecies del Codice Privacy (D.lgs 196/2003).