Il 2 settembre 2020 il Comitato Europeo per la Protezione dei Dati, in forza dei poteri ad esso conferiti dall’art. 70 del GDPR, ha adottato la bozza delle Linee Guida 07/2020 su Titolare e Responsabile del Trattamento. Il draft delle linee-guida è stato oggetto di consultazione pubblica fino al 19 ottobre 2020.
I concetti di titolare del trattamento e responsabile del trattamento svolgono un ruolo cruciale nell’applicazione del Regolamento 2016/679 (GDPR), in quanto determinano chi ha il compito di rispettare le diverse norme ed il modo in cui gli interessati possono esercitare i propri diritti. Il Comitato ha dunque evidenziato la necessità che queste nozioni siano il più chiare possibili. Le Linee sostituiscono il precedente documento del Gruppo di lavoro articolo 29 sui medesimi concetti (n. 1/2010 adottato il 16 Febbraio 2010, 264/10 /EN, WP 169).
Il Titolare del trattamento
Il Titolare del trattamento è il soggetto (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo) che determina le finalità e i mezzi del trattamento di dati personali e quindi il “perché” ed il “come” del trattamento.
Come specificano le Linee Guida, la definizione è piuttosto ampia e si riferisce al soggetto in quanto tale e non alla persona fisica che agisce al suo interno quale un amministratore delegato, un dipendente oppure un membro del consiglio di amministrazione.
Il potere decisionale sulle finalità ed i mezzi del trattamento, caratteristico della figura del titolare, può essere attribuito direttamente dalla legge, per esempio per le autorità pubbliche con riferimento ai dati personali effettuato per le loro funzioni, oppure derivare dall’analisi del caso concreto, rispondendo alle specifiche domande quali: “Perché si sta svolgendo questo trattamento”? e “Chi ha deciso questa finalità”? Alcune attività di trattamento possono essere considerate come naturalmente connesse al ruolo svolto professionalmente da un soggetto determinandone il ruolo di titolare del trattamento come per esempio nel caso del datore di lavoro per i dati dei propri dipendenti o di un’associazione per i suoi associati.
La decisione sulla finalità del trattamento è sempre lasciata al Titolare del trattamento, per quanto riguarda i mezzi, invece, può essere lasciato un ambito di decisione al Responsabile del trattamento per ciò che non è da considerarsi essenziale.
La contitolarità
Quando questa attività di definizione dei mezzi e delle finalità del trattamento è posta in essere da due soggetti, tanto che il trattamento non sarebbe possibile senza la partecipazione di entrambi, ci si trova di fronte ad un caso di “contitolarità del trattamento” disciplinato dall’art. 26 del GDPR e delineato nei dettagli dalla giurisprudenza della Corte di Giustizia dell’Unione Europea.
In tal caso due o più titolari del trattamento decidono congiuntamente le finalità e i mezzi del trattamento con l’obbligo di determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato e alla comunicazione dell’informativa di cui agli articoli 13 e 14.
È anche importante sottolineare, come chiarito dalla CGUE, che un soggetto sarà considerato contitolare solo in relazione a quei trattamenti per i quali determina, congiuntamente con altri, i mezzi e le finalità del trattamento. Se un soggetto decide da solo le finalità ed i mezzi di un trattamento che precede oppure è successivo nella “catena dei trattamenti” sarà considerato il solo titolare di questo trattamento.
La mera esistenza di un mutuo vantaggio (ad es. commerciale) derivante da un’attività di trattamento non dà luogo a contitolarità del trattamento.
Lo scambio di dati tra due soggetti senza la determinazione congiunta dei mezzi e della finalità di trattamento deve essere considerata una comunicazione di dati tra due titolari distinti.
Il Responsabile del trattamento
Il Responsabile del trattamento è il soggetto separato, quale la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Il responsabile del trattamento non deve trattare i dati se non secondo le istruzioni del titolare del trattamento.
Può agire con una certa discrezionalità nello scegliere le misure tecniche ed organizzative che assicurino al meglio l’interesse del titolare ma con il limite di non poter andare oltre arrivando a determinare le proprie finalità e mezzi di trattamento. In questo caso sarà considerato a sua volta titolare di quel trattamento e sarà sottoposto alle sanzioni previste dal GDPR per non aver rispettato le istruzioni del titolare.
Il titolare del trattamento ha il dovere di utilizzare “solo responsabili che “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art. 28). La valutazione da parte del titolare del trattamento è una forma di valutazione del rischio che dipenderà in larga misura dal tipo di trattamento affidato al responsabile e dovrà essere effettuato caso per caso, tenendo conto della natura, portata, contesto e finalità del trattamento come così come dei rischi per i diritti e le libertà delle persone fisiche.
I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico in forma scritta che vincoli il responsabile del trattamento al titolare del trattamento (art. 28).
I contratti possono talvolta essere redatti unilateralmente da una delle parti a seconda di alcune condizioni quali la posizione delle parti nel mercato e il potere contrattuale, la loro competenza tecnica e l’accesso a servizi legali. Ad esempio, alcuni fornitori di servizi tendono a stabilire termini e condizioni standard, che includono accordi sul trattamento dei dati. Il fatto che il contratto e le sue condizioni generali di contratto siano predisposte dal prestatore di servizi rispetto al titolare del trattamento non è di per sé problematico e non è di per sé una base sufficiente per concludere che il prestatore di servizi dovrebbe essere considerato un titolare. Inoltre lo squilibrio del potere contrattuale di un piccolo titolare del trattamento dei dati rispetto ai grandi fornitori di servizi non dovrebbe essere considerato come una giustificazione affinché il titolare del trattamento accetti clausole e termini non conformi, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Qualsiasi proposta di modifica, da parte del responsabile del trattamento, degli accordi sul trattamento dei dati inclusi nei termini e condizioni standard dovrebbe essere direttamente approvata dal titolare del trattamento La mera pubblicazione di tali modifiche sul sito web del responsabile non è conforme all’articolo 28.
Sebbene gli elementi previsti dall’art. 28 del regolamento costituiscano il contenuto centrale del contratto, l’elaborazione dell’accordo non dovrebbe limitarsi a riformulare le disposizioni del GDPR ma dovrebbe includere più informazioni specifiche e concrete su come verranno soddisfatti i requisiti e sul livello di sicurezza necessario.
Nell’analizzare il contenuto obbligatorio del contratto le Linee Guida forniscono numerose indicazioni specifiche.
Il comitato raccomanda per esempio che la descrizione della natura e delle finalità del trattamento sia il più esauriente possibile, a seconda della specifica attività in modo da consentire a soggetti esterni (es. autorità garante) di comprendere il contenuto ed i rischi del trattamento affidato al responsabile. Con la stessa specificità deve essere anche indicata la categoria di interessati ed il tipo di dati personali non essendo adeguato semplicemente specificare che si tratta di “dati personali ai sensi dell’articolo 4, paragrafo 1, GDPR” o di “dati personali particolari ai sensi dell’articolo 9″. In caso di categorie particolari di dati, anzi, il contratto o atto giuridico dovrebbe almeno specificare quali tipi di dati sono interessati, ad esempio, “Informazioni relative alle cartelle cliniche” o “informazioni sul fatto che l’interessato sia un membro di un sindacato ”