Titolare o responsabile? Questo è il problema

Chi è il titolare del trattamento ?

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Il concetto di “titolare del trattamento” è fondamentale nel contesto della privacy e della protezione dei dati personali, soprattutto alla luce delle normative come il GDPR (General Data Protection Regulation) dell’Unione Europea.

Per spiegarlo in modo semplice, immaginiamo il titolare del trattamento come il “capitano” di una nave che naviga nel vasto mare dei dati personali.

Chi è il Titolare del Trattamento?

In altre parole, è chi decide “perché” e “come” i dati personali dovrebbero essere trattati. Questo può essere un’azienda, un’organizzazione, o anche un dipartimento governativo.

La definizione di titolare del trattamento contiene cinque elementi principali, che saranno analizzati separatamente ai fini dei presenti orientamenti. Sono i seguenti:

• “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo”
• “determina”
• “da solo o insieme ad altri”
• “gli scopi e i mezzi”
• “del trattamento dei dati personali”.

Conforme al GDPR, il titolare del trattamento può essere identificato come “un individuo o un’entità legale, un’autorità pubblica, un’agenzia o qualsiasi altro tipo di organismo”.

Questo indica che non esistono limitazioni specifiche riguardo alla natura dell’entità che può assumere il ruolo di responsabile del trattamento, potendo essere sia un’organizzazione che un singolo individuo o un gruppo di persone.

Tuttavia, nella pratica, è generalmente l’organizzazione stessa, piuttosto che una persona singola all’interno di essa (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione), a svolgere la funzione di titolare del trattamento secondo il GDPR.

Quando si tratta del trattamento dei dati all’interno di un conglomerato aziendale, è fondamentale valutare con attenzione se un’entità opera come titolare o responsabile del trattamento, specialmente nel caso in cui elabori dati per conto dell’azienda capogruppo.

Garante della Protezione dei dati personali provv. 9.12.1997

Il Garante nelle “Precisazioni sulla figura del titolare” (provv. 9.12.1997) specifica che il riferimento alla persona fisica che compare nella definizione del titolare non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l’ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità di un’attività che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell’ambito e nell’interesse di una persona giuridica, di un’impresa o di un ente nel quale ricoprono incarichi di rilievo.

Chi è il Titolare del Trattamento nel contesto di una persona giuridica

Nel contesto di una persona giuridica (come un’azienda o un ente pubblico), il “titolare del trattamento” non è una singola persona fisica all’interno dell’organizzazione (come l’amministratore delegato o il direttore generale), ma l’entità nel suo complesso. Questo significa che l’intera organizzazione è responsabile del trattamento dei dati personali nel rispetto delle leggi sulla privacy.

Esempio Pratico

Immaginiamo una grande azienda farmaceutica, “PharmaCorp”, che raccoglie dati sui pazienti per la ricerca. In questo caso, “PharmaCorp” nel suo complesso è il titolare del trattamento. Anche se l’amministratore delegato o il capo del dipartimento di ricerca potrebbero prendere decisioni su come vengono utilizzati i dati, la responsabilità legale e la conformità con le normative sulla privacy ricadono sull’azienda stessa, non su queste singole persone.

Perché È Importante?

Questa distinzione è cruciale per varie ragioni:

Responsabilità e Conformità: Assicura che l’intera organizzazione sia responsabile della protezione dei dati personali e della conformità con le leggi sulla privacy, promuovendo un approccio olistico e integrato alla gestione dei dati.

Chiarezza nelle Relazioni Esterne: Fornisce chiarezza a chi fornisce i propri dati personali (come i clienti o i pazienti) su chi sia effettivamente responsabile per quei dati, rendendo più semplice per loro esercitare i loro diritti in materia di privacy (come il diritto di accesso, rettifica o cancellazione dei dati).

Gestione delle Responsabilità: Aiuta a definire chiaramente le responsabilità all’interno dell’organizzazione, assicurando che le politiche e le procedure di protezione dei dati siano implementate a tutti i livelli.

Quindi, quando si parla di “titolare del trattamento” in contesti organizzativi complessi, è importante ricordare che si riferisce all’entità nel suo complesso, e non alle singole persone che operano al suo interno. Questo aiuta a garantire che la gestione dei dati personali sia presa seriamente e che ci sia una chiara responsabilità collettiva per la protezione della privacy.

In alcuni casi, aziende e istituzioni pubbliche designano un individuo specifico per sovrintendere all’esecuzione delle operazioni di trattamento dei dati.

Tuttavia, anche se questa persona viene incaricata di assicurare la conformità alle leggi sulla protezione dei dati, non assume il ruolo di titolare del trattamento. Piuttosto, agisce in rappresentanza dell’entità legale (che sia un’azienda o un ente pubblico), la quale rimane l’ultima responsabile per qualsiasi inadempienza alle normative, in qualità di titolare del trattamento.

Il secondo principio fondamentale che definisce il ruolo di titolare del trattamento riguarda l’autorità di quest’ultimo sul processo di trattamento, attraverso l’esercizio del potere decisionale.

Un titolare del trattamento è quindi identificato come l’entità che stabilisce aspetti fondamentali del trattamento dei dati.

Questa capacità di controllo può essere assegnata per legge o può emergere dall’esame delle circostanze specifiche o dei fatti concreti.

È essenziale analizzare le operazioni di trattamento specifiche in esame per determinare chi ne sia responsabile, ponendo particolare attenzione a questioni come

“Perché si sta effettuando questo trattamento?” e “Chi ha deciso che il trattamento dovesse essere intrapreso per uno scopo specifico?”.

In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un’entità come responsabile del trattamento deve essere determinata analizzando le circostanze concrete legate al processo di trattamento dei dati. È fondamentale considerare tutte le circostanze rilevanti per stabilire se un’entità eserciti un’influenza decisiva sul trattamento dei dati personali in questione.

Questa necessità di una valutazione basata sui fatti implica che il ruolo di responsabile del trattamento non dipende dalla natura intrinseca dell’entità che tratta i dati, ma dalle sue azioni specifiche in un dato contesto. Ciò significa che la stessa entità può assumere il ruolo di titolare del trattamento per alcune operazioni di trattamento e di responsabile del trattamento per altre, e questa distinzione deve essere valutata in relazione ad ogni singola attività di trattamento dei dati.

Un esempio classico di soggetto che può agire sia come titolare del trattamento sia come responsabile del trattamento è una società di consulenza IT che offre servizi di cloud computing e di gestione dei sistemi informativi alle aziende.

Come Titolare del Trattamento

Quando la società di consulenza IT raccoglie e utilizza dati personali relativi ai propri dipendenti per scopi di gestione delle risorse umane, agisce come titolare del trattamento. In questo contesto, la società decide le finalità e i mezzi del trattamento dei dati personali dei suoi dipendenti, come l’elaborazione delle buste paga, la gestione delle assenze e delle ferie, e la valutazione delle performance.

Come Responsabile del Trattamento

D’altra parte, quando la stessa società fornisce servizi di cloud computing a un’altra azienda, agisce come responsabile del trattamento. In questo scenario, la società di consulenza IT gestisce i dati personali per conto dell’azienda cliente (il titolare del trattamento), seguendo le istruzioni specificate nel contratto di servizio. Questo può includere l’hosting di database dell’azienda cliente contenenti dati personali, la gestione della sicurezza dei dati, e il supporto nel backup e nel recupero dei dati.

Valutazione Contestuale

La distinzione tra i ruoli di titolare e responsabile del trattamento per la stessa entità dipende strettamente dalle specifiche attività di trattamento e dalle relazioni contrattuali stabilite con altre parti. È fondamentale che questa distinzione sia chiaramente definita e documentata per assicurare la conformità con il GDPR, specialmente in termini di responsabilità, obblighi di protezione dei dati, e diritti degli interessati. Questo approccio basato sui fatti garantisce che tutte le parti coinvolte comprendano i loro ruoli e responsabilità nella protezione dei dati personali.

Nella pratica, certe attività di trattamento dei dati possono essere considerate intrinsecamente connesse al ruolo o alle funzioni di un’entità, implicando così una responsabilità diretta in termini di protezione dei dati. Questo può derivare da normative generali o da pratiche legali consolidate in vari campi (come il diritto civile, commerciale, del lavoro, ecc.).

In questi casi, i ruoli tradizionali e le competenze professionali che normalmente comportano una certa responsabilità possono facilitare l’identificazione del responsabile del trattamento.

Quando un’entità gestisce dati personali nell’ambito delle sue interazioni con dipendenti, clienti o membri, è generalmente considerata titolare del trattamentoo, in quanto determina gli scopi e i mezzi del trattamento in conformità al GDPR.

La società ABC assume uno studio legale per rappresentarla in una controversia. Per svolgere questo compito, lo studio legale deve trattare i dati personali relativi al caso. La ragione del trattamento dei dati personali è il mandato dello studio legale di rappresentare il cliente in tribunale. Tale mandato, tuttavia, non è specificatamente finalizzato al trattamento dei dati personali. Lo studio legale agisce con un notevole grado di indipendenza, ad esempio nel decidere quali informazioni utilizzare e come utilizzarle, e non ci sono istruzioni da parte dell’azienda cliente in merito al trattamento dei dati personali. I trattamenti che lo studio legale effettua per adempiere all’incarico di legale rappresentante della società sono quindi legati al ruolo funzionale dello studio legale tanto che lo stesso è da considerarsi titolare di tale trattamento.

In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un’entità come responsabile del trattamento deve essere determinata analizzando le circostanze concrete legate al processo di trattamento dei dati. È fondamentale considerare tutte le circostanze rilevanti per stabilire se un’entità eserciti un’influenza decisiva sul trattamento dei dati personali in questione.

Il quarto elemento chiave nella definizione di titolare del trattamento si concentra sull’ambito dell’influenza esercitata dal titolare del trattamento, specificatamente sulle “finalità e mezzi” del trattamento dei dati.

I termini “scopo” e “mezzi” sono definiti rispettivamente come il risultato che si intende ottenere o che guida le azioni pianificate, e il metodo attraverso il quale si raggiunge un risultato o si realizza uno scopo.

Secondo il GDPR, i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi, e non devono essere successivamente trattati in modo incompatibile con questi scopi.

Di conseguenza, è fondamentale determinare le “finalità” del trattamento e i “mezzi” per raggiungerle. Determinare questi aspetti significa decidere il “perché” e il “come” del trattamento: per un dato trattamento, il titolare del trattamento è colui che ha stabilito il motivo per cui si svolge il trattamento (cioè, per quale scopo) e come questo obiettivo sarà conseguito (cioè, quali strumenti verranno utilizzati).

Una persona fisica o giuridica che esercita tale influenza sul trattamento dei dati partecipa così alla definizione delle finalità e dei mezzi del trattamento, secondo quanto previsto dall’articolo 4(7) del GDPR.

Pertanto, il titolare del trattamento deve stabilire sia le finalità che i mezzi del trattamento. Non può limitarsi a definire lo scopo, ma deve anche prendere decisioni sulle modalità del trattamento. Al contrario, un responsabile del trattamento non ha il potere di determinare le finalità del trattamento.

Nella pratica, quando un titolare del trattamento delega a un responsabile del trattamento l’esecuzione del trattamento per suo conto, ciò spesso implica che il responsabile del trattamento possa prendere alcune decisioni su come procedere con il trattamento in modo indipendente.

L’EDPB riconosce che può esserci spazio per una certa discrezionalità da parte del responsabile del trattamento nel prendere decisioni relative al trattamento.

È quindi importante chiarire quale grado di influenza sul “perché” e sul “come” del trattamento qualifichi un’entità come titolare del trattamento e in che misura un responsabile del trattamento possa agire autonomamente nelle decisioni.

Quando un’entità stabilisce chiaramente le finalità e i mezzi del trattamento, affidando a un’altra entità compiti che equivalgono all’esecuzione delle sue istruzioni dettagliate, la distinzione è netta: la seconda entità è il responsabile del trattamento, mentre la prima è il titolare del trattamento.

La distinzione tra le decisioni che devono essere prese dal titolare del trattamento e quelle che possono essere delegate al responsabile del trattamento si concentra sulla differenziazione tra i “mezzi essenziali” e i “mezzi non essenziali” del trattamento. Le decisioni sulle finalità del trattamento sono di competenza esclusiva del titolare del trattamento.

Nel contesto della determinazione dei mezzi, i “mezzi essenziali” si riferiscono a quelli strettamente legati alla finalità e all’ambito del trattamento, e sono tradizionalmente considerati di competenza del titolare del trattamento. Questi includono decisioni su quali dati personali saranno trattati, la durata del trattamento, chi avrà accesso ai dati e a chi appartengono i dati trattati.

D’altro canto, i “mezzi non essenziali” si occupano degli aspetti pratici dell’implementazione del trattamento, come la scelta del software o dell’hardware specifico o le misure di sicurezza dettagliate, su cui il responsabile del trattamento può avere discrezionalità decisionale.

Esempio: Gestione delle buste paga

Prendiamo il caso del datore di lavoro A che ingaggia un’azienda esterna per gestire il pagamento degli stipendi ai suoi dipendenti. Il datore di lavoro A fornisce istruzioni dettagliate su chi deve essere pagato, quanto, entro quale data, tramite quale banca, per quanto tempo conservare i dati, e quali informazioni trasmettere all’autorità fiscale, ecc. In questa situazione, il trattamento dei dati è svolto allo scopo di pagare gli stipendi dei dipendenti da parte della Società A, e l’entità che gestisce le buste paga non ha il diritto di utilizzare i dati per propri scopi. La modalità di trattamento è definita in modo chiaro e stringente dal datore di lavoro A. Tuttavia, l’entità incaricata della gestione delle buste paga ha la libertà di prendere alcune decisioni operative, come la scelta del software da utilizzare o come organizzare l’accesso ai dati all’interno della propria struttura.

Questi esempi illustrano come la distinzione tra titolare del trattamento e responsabile del trattamento possa variare a seconda delle circostanze specifiche e delle attività di trattamento dei dati personali.

Esempio: Pagamenti bancari

Quando l’amministrazione delle buste paga, seguendo le istruzioni del datore di lavoro A, invia informazioni alla banca B per eseguire i pagamenti ai dipendenti, la banca B tratta i dati personali nell’ambito delle sue operazioni bancarie. La banca decide autonomamente, indipendentemente dal datore di lavoro A, quali dati trattare per erogare il servizio e quanto tempo conservare tali dati. In questo contesto, il datore di lavoro A non ha controllo sulle finalità e sui mezzi con cui la Banca B tratta i dati. Pertanto, la Banca B è considerata titolare del trattamento per questa attività, e il trasferimento di dati personali dall’amministrazione delle buste paga è visto come una comunicazione tra due titolari del trattamento.

Esempio: Commercialisti

Se il datore di lavoro A incarica la società di contabilità C di esaminare la propria contabilità e trasferisce i dati delle transazioni finanziarie (inclusi i dati personali) a C, la società di contabilità C elabora questi dati senza ricevere istruzioni dettagliate da A. La società di contabilità C decide in autonomia, conformemente alle leggi che regolano le sue attività di revisione, come trattare i dati raccolti esclusivamente ai fini dell’audit di A. Questo include decisioni su quali dati raccogliere, quali categorie di persone registrare, quanto tempo conservare i dati e quali strumenti tecnici utilizzare. In queste circostanze, la società di contabilità C agisce come un titolare del trattamento indipendente. Tuttavia, questo ruolo potrebbe cambiare se la legge non impone obblighi specifici alla società di contabilità e se l’azienda cliente fornisce istruzioni molto dettagliate sul trattamento dei dati.

Esempio: Servizi di hosting

Quando il datore di lavoro A ingaggia il servizio di hosting H per archiviare dati crittografati sui suoi server, il servizio di hosting H non determina se i dati ospitati siano dati personali né li tratta in modo diverso dalla loro semplice memorizzazione. Poiché l’archiviazione è considerata un trattamento di dati personali, il servizio di hosting H agisce come responsabile del trattamento per conto del datore di lavoro A. È necessario che il datore di lavoro A fornisca a H le istruzioni adeguate, ad esempio riguardo alle misure di sicurezza necessarie, e che venga stipulato un accordo di trattamento dei dati conformemente all’articolo 28 del GDPR. H deve assistere A nell’adozione delle misure di sicurezza appropriate e informarlo in caso di violazione dei dati personali.

Gli esempi sottostanti dimostrano come la distinzione tra il ruolo di titolare del trattamento e quello di responsabile del trattamento possa variare in base alla specifica situazione e al tipo di trattamento dei dati personali.

Esempio: Servizi di hosting

Nel caso in cui il datore di lavoro A contratti il servizio di hosting H per l’archiviazione di dati crittografati sui server di H, il fornitore di hosting non determina se i dati ospitati siano dati personali né li tratta in maniera diversa dalla semplice memorizzazione. Poiché l’archiviazione costituisce un trattamento di dati personali, il servizio di hosting H funge da responsabile del trattamento per conto del datore di lavoro A. È necessario che il datore di lavoro A fornisca a H istruzioni specifiche, ad esempio sulle misure di sicurezza tecniche e organizzative da adottare, e che venga stipulato un accordo di trattamento dei dati conformemente all’articolo 28 del GDPR. H ha il compito di assistere A nell’implementazione delle necessarie misure di sicurezza e di informarlo in caso di violazioni dei dati personali.

Mentre le decisioni riguardanti i mezzi non essenziali possono essere delegate al responsabile del trattamento, è importante che alcuni elementi chiave siano definiti nel contratto con il responsabile del trattamento.

Inoltre, le finalità e i mezzi definiti dal titolare del trattamento devono concernere specificamente il “trattamento dei dati personali”, come definito dall’articolo 4, paragrafo 2, del GDPR, che comprende qualsiasi operazione o insieme di operazioni effettuate su dati personali.

Questo significa che il controllo esercitato da un soggetto può riferirsi all’intero processo di trattamento o solo a specifiche fasi dello stesso. Chiunque tratti dati deve valutare se questi costituiscano dati personali e, in tal caso, quali siano gli obblighi secondo il GDPR. Un soggetto può essere considerato titolare del trattamento anche se non mira specificamente ai dati personali o ha valutato erroneamente di non trattare dati personali.

È rilevante notare che non è necessario che il titolare del trattamento abbia accesso fisico ai dati per essere considerato tale. Se un soggetto esternalizza un’attività di trattamento influenzando lo scopo e i mezzi del trattamento, ad esempio modificando i parametri di un servizio in modo da determinare quali dati personali debbano essere trattati, questo soggetto viene considerato titolare del trattamento, anche senza un accesso diretto ai dati.

Nell’esempio delle ricerche di mercato, l’azienda ABC, che desidera comprendere meglio quali tipi di consumatori siano più inclini ad essere interessati ai suoi prodotti, si avvale dei servizi della società XYZ per acquisire queste informazioni. L’azienda ABC fornisce a XYZ indicazioni precise sul tipo di informazioni che ritiene rilevanti, inclusa una serie di domande da porre ai partecipanti alla ricerca.

Sebbene l’azienda ABC riceva da XYZ unicamente dati aggregati, come le tendenze di consumo suddivise per area geografica, senza avere accesso diretto ai dati personali dei partecipanti, è l’azienda ABC a determinare l’occorrenza del trattamento, gli scopi per cui questo deve essere effettuato e a fornire istruzioni specifiche su quali dati raccogliere. Di conseguenza, l’azienda ABC assume il ruolo di titolare del trattamento dei dati personali raccolti e trattati da XYZ al fine di ottenere le informazioni desiderate.

D’altro canto, XYZ, che agisce in base alle direttive ricevute dall’azienda ABC e può utilizzare i dati esclusivamente per lo scopo definito da quest’ultima, è considerato responsabile del trattamento. Questo esempio evidenzia come, anche in assenza di un accesso diretto ai dati personali da parte del committente (in questo caso l’azienda ABC), la responsabilità e il controllo sulle finalità e sui mezzi del trattamento dei dati determinino la qualifica di titolare del trattamento, mentre l’esecuzione del trattamento secondo istruzioni specifiche identifica il responsabile del trattamento.

Questo principio chiarisce che la responsabilità nella protezione dei dati personali e nella conformità con le normative sulla privacy (come il GDPR) non dipende semplicemente dal possesso fisico o dall’accesso diretto ai dati.

La chiave è piuttosto il controllo sulla finalità e sui mezzi del trattamento dei dati. Ciò assicura che le entità che hanno il potere decisionale sul trattamento dei dati personali, anche se indirettamente, siano tenute a rispettare gli obblighi di protezione e privacy previsti dalla legge.

La definizione di “titolare del trattamento” si estende quindi oltre la semplice accessibilità fisica ai dati, abbracciando chiunque abbia un impatto significativo sulle decisioni relative a come e perché i dati personali vengono trattati.

Questo enfatizza l’importanza di una gestione responsabile dei dati personali e la necessità di accordi chiari e conformi alle normative quando si esternalizzano servizi che implicano il trattamento di tali dati.

Il provvedimento del garante del 22.06.2023

Il provvedimento del Garante per la Protezione dei Dati Personali del 22 giugno 2023, numero 264, riguarda una sanzione amministrativa pecuniaria imposta ad Autostrade per l’Italia S.p.A. (ASPI) per violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR)1. La sanzione ammonta a 1.000.000 di euro.

Dettagli del Provvedimento

Contesto: Il provvedimento è stato preso in seguito a una segnalazione dell’8 settembre 2021 da parte dell’Associazione Nazionale Utenti Servizi Pubblici (Assoutenti), riguardante l’applicazione “Free To X” creata da Autostrade per l’Italia S.p.A. (ASPI) e da Free to X S.r.l. Questa app è stata sviluppata per consentire il rimborso totale o parziale del costo del biglietto autostradale in caso di ritardi dovuti a lavori in corso.

Risposta di ASPI: ASPI ha risposto alle richieste di informazioni del Garante, spiegando che l’origine del sistema di rimborso, noto come Cashback, derivava da un accordo conclusosi con il Ministero delle Infrastrutture e dei Trasporti (ora Ministero delle infrastrutture e della Mobilità Sostenibili – MIMS) a seguito di un presunto grave inadempimento da parte di ASPI. L’obiettivo era implementare misure compensative concordate nell’accordo, con l’autorizzazione del MIMS.

Funzionamento dell’applicazione: Dopo aver ottenuto il nulla osta del MIMS il 21 luglio 2021, ASPI ha incaricato Free To X S.r.l. di gestire il servizio di Cashback tramite l’app. Questo servizio era destinato a gestire i rimborsi per ritardi significativi causati da cantieri sulle autostrade gestite da ASPI. ASPI fungeva da responsabile del trattamento dei dati personali nell’ambito del servizio di Cashback.

Utilizzo dell’applicazione: L’app è stata resa disponibile ufficialmente il 14 settembre 2021 in una fase sperimentale iniziata il giorno successivo. Il numero totale di utenti iscritti all’app era di 308.058, di cui solo circa un terzo era iscritto al servizio Cashback, rispetto agli oltre 800 milioni di transiti annui sulla rete autostradale di ASPI.

Questo provvedimento evidenzia l’attenzione del Garante per la Protezione dei Dati Personali verso le iniziative che coinvolgono il trattamento dei dati personali, assicurando che tali pratiche siano condotte nel rispetto della normativa vigente in materia di privacy.

più nel dettaglio, la società che aveva sviluppato l’applicazione attuava solo le direttive che gli erano state impartite dal titolare in merito alle concrete modalità di trattamento dei dati personali degli utenti dell’app. Di conseguenza, la diversa qualificazione dei ruoli privacy attribuita dal Garante alle parti coinvolte ha avuto immediate ripercussioni sugli adempimenti che la società qualificata come titolare effettivo era tenuta a porre in essere (quali, ad esempio, l’informativa con le informazioni corrette e la nomina a responsabile verso la società sviluppatrice).

Nel contesto del provvedimento del Garante per la Protezione dei Dati Personali relativo all’applicazione “Free To X” e al servizio di Cashback offerto da Autostrade per l’Italia S.p.A. (ASPI) in collaborazione con Free to X S.r.l., ASPI è stata considerata titolare del trattamento dei dati personali per diversi motivi:

1. Definizione di Titolare del Trattamento: Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. In questo caso, ASPI, in quanto entità che ha ideato e promosso l’iniziativa del Cashback e che ha definito le finalità e i mezzi del trattamento dei dati nell’ambito di questa iniziativa, rientra nella definizione di titolare del trattamento.
2. Ruolo di ASPI nell’Iniziativa: ASPI ha avuto un ruolo centrale nell’ideazione, progettazione e implementazione del servizio di Cashback. Questo include la decisione di offrire un rimborso ai viaggiatori in caso di ritardi significativi dovuti a lavori in corso sulle autostrade da essa gestite. La decisione di raccogliere e utilizzare i dati personali degli utenti per facilitare questo servizio è stata presa da ASPI, che ha quindi stabilito le finalità del trattamento.
3. Accordo con Free to X S.r.l.: Anche se ASPI ha delegato la gestione operativa del servizio di Cashback a Free to X S.r.l., ASPI rimane l’entità che ha concordato le condizioni e i termini del servizio, comprese le modalità di trattamento dei dati personali degli utenti. Questo accordo non esime ASPI dalle sue responsabilità come titolare del trattamento, poiché ha definito le finalità e i mezzi del trattamento.
4. Responsabilità nei confronti degli Utenti: ASPI, in quanto entità che ha promosso l’iniziativa rivolta agli utenti delle autostrade, ha la responsabilità di assicurare che i dati personali degli utenti siano trattati in modo conforme al GDPR e alla normativa sulla privacy. Questo include la responsabilità di informare gli utenti sul trattamento dei loro dati, sui loro diritti in materia di protezione dei dati e sulle modalità di esercizio di tali diritti.

In conclusione, ASPI è stata considerata titolare del trattamento perché ha giocato un ruolo decisivo nella determinazione delle finalità e dei mezzi del trattamento dei dati personali nell’ambito del servizio di Cashback, conformemente alla normativa europea sulla protezione dei dati.

Immaginate di partecipare a un programma che vi promette di restituire una parte dei soldi che spendete in autostrada se vi trovate in mezzo a lavori stradali che causano ritardi.

Ruolo di ASPI nel Cashback

ASPI ha pensato e realizzato l’intera idea del Cashback. Ha deciso di offrire un rimborso a chi si trova in ritardo a causa dei lavori sulle autostrade che gestisce. Per fare ciò, ha bisogno di raccogliere informazioni sugli utenti, come quando e dove hanno viaggiato, per poter calcolare il rimborso. ASPI, quindi, stabilisce perché e come vengono usati questi dati.

Collaborazione con Free to X S.r.l.

Anche se ASPI ha affidato a un’altra società, Free to X S.r.l., la gestione pratica di questo servizio di Cashback, ASPI non si libera delle sue responsabilità. Ha concordato con Free to X come i dati dovrebbero essere trattati, ma rimane comunque ASPI a decidere il “perché” e il “come” finale del loro uso. Questo significa che ASPI deve assicurarsi che tutto sia fatto rispettando le regole sulla privacy.

Al riguardo è possibile consultare il parere n. 1/2010 del WP29 (WP169) sui concetti di responsabile e incaricato del trattamento

Il documento analizzato è un parere del Gruppo di lavoro articolo 29 per la protezione dei dati, che si focalizza sui concetti di “responsabile del trattamento” e “incaricato del trattamento” secondo la direttiva 95/46/CE.

Il considerando n. 74 del GDPR

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Ed infatti, il C74 specifica che il titolare del trattamento dovrebbe essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

La cotitolarità nel trattamento dei dati personali nswer

La cotitolarità nel trattamento dei dati personali si riferisce a situazioni in cui due o più entità determinano congiuntamente le finalità e i mezzi del trattamento di dati personali. Questo concetto è regolamentato dall’articolo 26 del GDPR, che introduce norme specifiche per la gestione di tali situazioni

Caratteristiche della Cotitolarità

1. Definizione delle Responsabilità: I cotitolari devono definire chiaramente le loro rispettive responsabilità per il trattamento dei dati, comprese le misure di sicurezza e il rispetto dei diritti degli interessati. Questo può essere fatto tramite un accordo che stabilisce chi è responsabile di quali aspetti del trattamento58.
2. Informativa agli Interessati: È essenziale che gli interessati siano informati della cotitolarità, comprese le informazioni su chi sono i cotitolari e le loro responsabilità specifiche. Questo aiuta a garantire la trasparenza e permette agli interessati di esercitare i loro diritti in modo efficace811.
3. Gestione delle Richieste degli Interessati: I cotitolari devono organizzare un modo per gestire le richieste degli interessati, assicurando che queste possano essere indirizzate al cotitolare appropriato per una risposta tempestiva8.

Implicazioni Legali

La cotitolarità impone ai cotitolari l’obbligo di garantire che il trattamento dei dati sia conforme al GDPR. Questo include l’adozione di misure adeguate per proteggere i dati personali e garantire i diritti degli interessati. Inoltre, i cotitolari devono essere in grado di dimostrare la conformità con il GDPR, compresa la corretta implementazione dell’accordo di cotitolarità

Tuttavia, l’uso comune di un sistema o infrastruttura per il trattamento dei dati non implica automaticamente una co-titolarità in ogni situazione, specialmente quando il trattamento è separabile e potrebbe essere condotto da una sola parte senza l’intervento dell’altra, o quando una delle parti agisce senza una propria finalità di trattamento.

Esempi pratici:

• Agenzia di viaggi: L’agenzia di viaggi, una compagnia aerea e una catena alberghiera che decidono di creare una piattaforma comune su Internet per offrire pacchetti di viaggio diventano co-titolari del trattamento per le operazioni svolte sulla piattaforma e per le azioni di marketing congiunte, anche se mantengono il controllo esclusivo sulle altre attività di trattamento al di fuori della piattaforma.
• Progetto di ricerca: Istituti di ricerca che utilizzano una piattaforma comune per un progetto di ricerca specifico diventano co-titolari del trattamento dei dati raccolti e condivisi sulla piattaforma, poiché hanno deciso insieme la finalità e i mezzi del trattamento.
• Operazione di marketing: Aziende che lanciano un prodotto in co-branding e decidono di condividere i dati dei clienti per organizzare un evento promozionale diventano co-titolari del trattamento per l’organizzazione dell’evento, poiché hanno definito insieme lo scopo e le modalità di trattamento dei dati in questo contesto.
• Sperimentazioni cliniche: Un operatore sanitario e un’università che avviano insieme una sperimentazione clinica diventano co-titolari del trattamento quando concordano congiuntamente lo scopo e i mezzi essenziali del trattamento dei dati personali raccolti per la ricerca.
• Cacciatori di teste: Un’azienda che aiuta un’altra azienda nel reclutamento, utilizzando un servizio che implica la condivisione e il trattamento congiunto dei dati dei candidati, può essere considerata co-titolare del trattamento se le decisioni su come gestire il servizio e i dati sono prese congiuntamente.

• La presenza di più soggetti coinvolti in un’operazione di trattamento dei dati non implica automaticamente una titolarità congiunta del trattamento. La determinazione di una co-titolarità richiede un’analisi specifica del ruolo e delle responsabilità di ciascuna entità coinvolta in relazione al trattamento dei dati in questione. Esistono diverse situazioni in cui, nonostante la collaborazione o l’uso condiviso di dati o infrastrutture, i soggetti coinvolti non sono considerati contitolari del trattamento.

Esempi di Situazioni senza Co-titolarità

• Trasmissione dei dati dei dipendenti alle autorità fiscali: Una società che invia dati relativi agli stipendi dei dipendenti alle autorità fiscali, come richiesto dalla legge, non stabilisce una co-titolarità con l’amministrazione finanziaria. Nonostante entrambi trattino gli stessi dati, la mancanza di finalità e mezzi congiuntamente determinati porta alla qualificazione di entità separate come titolari del trattamento.
• Operazioni di marketing in un gruppo di aziende con database condiviso: Un gruppo di aziende che utilizza un database comune per la gestione dei clienti non implica necessariamente una co-titolarità. Se ogni entità del gruppo tratta i dati per i propri scopi specifici e decide autonomamente sull’accesso e sulla gestione dei dati, allora ciascuna azienda agisce come un titolare del trattamento indipendente.
• Utilizzo di un’infrastruttura condivisa senza finalità comuni: Quando una società ospita un database utilizzato da altre aziende per trattare dati personali, ma non vi è alcun coinvolgimento o finalità condivisa con la società ospitante, non si stabilisce una co-titolarità. Le aziende che utilizzano il database possono trattare i dati per le proprie finalità indipendenti, rendendo la società ospitante e le altre aziende titolari del trattamento separati.
• Casi di enti che trattano dati per finalità indipendenti in una catena di operazioni: Diversi soggetti che trattano gli stessi dati personali in sequenza, ciascuno con la propria finalità e mezzi indipendenti, non sono considerati co-titolari. L’assenza di una partecipazione congiunta alla determinazione delle finalità e dei mezzi esclude la co-titolarità, rendendo i soggetti titolari indipendenti in successione.
• Analisi statistica per un compito di interesse pubblico: Un’autorità pubblica che raccoglie dati da altri enti pubblici per analisi statistiche, utilizzando un sistema specifico, agisce come l’unico titolare del trattamento per quelle finalità analitiche e statistiche. Gli altri enti pubblici, pur contribuendo con i dati, non sono co-titolari del trattamento, ma rimangono responsabili dell’accuratezza dei dati forniti.

• Questi esempi illustrano che la co-titolarità del trattamento si basa su una determinazione congiunta delle finalità e dei mezzi del trattamento. La semplice collaborazione, l’uso condiviso di dati o infrastrutture, o la partecipazione in una catena di trattamento non sono sufficienti per stabilire una co-titolarità senza una chiara intenzione e azione congiunta in tale direzione.

Il responsabile del trattamento dei dati

Il responsabile del trattamento è definito nell’articolo 4, paragrafo 8, del GDPR come una persona fisica o giuridica, un’autorità pubblica, un servizio o un altro organismo che tratta dati personali per conto del titolare del trattamento. Questa definizione include una vasta gamma di entità che possono agire in questa capacità, indicando che non ci sono limitazioni specifiche sul tipo di soggetto che può essere un responsabile del trattamento. Ciò significa che sia le organizzazioni che gli individui possono assumere questo ruolo.

Il GDPR impone obblighi diretti ai responsabili del trattamento, che possono essere ritenuti responsabili o multati per il mancato rispetto di tali obblighi o per azioni che contraddicono le istruzioni legittime del titolare del trattamento. È possibile che vi siano più responsabili del trattamento coinvolti in un unico processo di trattamento dei dati. Un titolare del trattamento può decidere di affidare diverse fasi del trattamento a diversi responsabili o può nominare un responsabile che, con l’autorizzazione del titolare, ingaggia sub-responsabili.

Per essere qualificato come responsabile del trattamento, è necessario:

1. Essere un’entità separata rispetto al titolare del trattamento.
2. Trattare i dati personali per conto del titolare.

Questa distinzione implica che un dipartimento di una stessa azienda generalmente non può essere considerato un responsabile del trattamento rispetto a un altro dipartimento della stessa entità, poiché il trattamento dei dati avviene all’interno della stessa organizzazione e non per conto di un’altra entità.

Il trattamento “per conto di” un titolare implica che l’entità separata agisce per servire gli interessi del titolare del trattamento e deve attuare le istruzioni fornite dal titolare, almeno per quanto riguarda le finalità del trattamento e gli elementi essenziali dei mezzi.

Tuttavia, il responsabile del trattamento ha comunque un margine di discrezionalità su come meglio servire gli interessi del titolare, inclusa la scelta dei mezzi tecnici e organizzativi più adeguati per il trattamento.

Importante notare che il responsabile del trattamento non può trattare i dati per i propri scopi. Se un responsabile del trattamento va oltre le istruzioni del titolare del trattamento e inizia a determinare le proprie finalità e mezzi di trattamento, viola il GDPR e può essere considerato a tutti gli effetti un titolare del trattamento per quel particolare trattamento, soggetto a possibili sanzioni.

Un titolare del trattamento deve avvalersi esclusivamente di responsabili del trattamento che forniscano garanzie sufficienti per attuare misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del GDPR.

Elementi da prendere in considerazione potrebbero essere le conoscenze specialistiche del responsabile del trattamento (ad esempio competenze tecniche in materia di misure di sicurezza e violazioni dei dati); l’affidabilità del processore; le risorse del responsabile del trattamento e la sua adesione ad un codice di condotta o a un meccanismo di certificazione approvato.

La natura fondamentale del responsabile del trattamento rimane inalterata: questa figura è quella che, avendo un certo grado di libertà nella scelta dei metodi, lavora per raggiungere gli obiettivi di trattamento stabiliti dal titolare del trattamento. Ciò che distingue e definisce un’entità come responsabile del trattamento è il fatto che le sue azioni sono finalizzate a servire gli scopi prefissati dal titolare del trattamento.

Il responsabile del trattamento viene nominato dal titolare attraverso un documento ufficiale, che specifica in dettaglio i compiti assegnatigli. Tuttavia, è importante sottolineare che, sebbene questo documento di nomina sia cruciale per identificare un soggetto come responsabile del trattamento, da solo non è sufficiente.

È indispensabile anche effettuare un’analisi pratica delle attività svolte da questo soggetto per confermare il suo ruolo.

Infatti, se il responsabile del trattamento, nonostante sia stato nominato dal titolare per determinate funzioni, va oltre questi compiti e gestisce i dati per scopi o con metodi diversi da quelli definiti dal titolare, si troverà a ricoprire il ruolo di titolare del trattamento o, a seconda delle circostanze, quello di co-titolare.

In questo contesto, il Gruppo di Lavoro Articolo 29, nel suo parere 1/2010 a pagina 26, ha chiarito che un responsabile che prende iniziative significative nella definizione degli scopi o nei metodi essenziali del trattamento dei dati si trasforma in un co-titolare del trattamento.

D’altro canto, il fatto di identificare (anche attraverso un contratto) un’entità come titolare del trattamento dei dati non è di per sé sufficiente a garantire che questa non gestisca i dati per conto di un’altra parte e che, di fatto, agisca come responsabile del trattamento per quest’ultima.

Questi esempi illustrano come la distinzione tra responsabile del trattamento e titolare del trattamento sia fondamentale nel GDPR e come la classificazione dipenda dalle attività specifiche e dalla relazione tra le parti coinvolte nel trattamento dei dati personali.

• MarketinZ e GoodProductZ: In questo esempio, MarketinZ era inizialmente designato come responsabile del trattamento per conto di GoodProductZ. Tuttavia, quando MarketinZ ha iniziato a usare i dati per i propri scopi commerciali, è diventato di fatto un titolare del trattamento per quelle operazioni, violando il GDPR. Questo sottolinea che un’entità non può essere considerata un responsabile del trattamento se determina autonomamente le finalità e i mezzi del trattamento dei dati personali.
• Servizio taxi: Anche se il servizio taxi tratta dati personali nell’ambito della fornitura del suo servizio alla Società ABC, opera come un titolare del trattamento poiché determina autonomamente le finalità e i mezzi del trattamento dei dati.
• Call center e supporto IT: Questi esempi mostrano situazioni in cui i fornitori di servizi agiscono come responsabili del trattamento, poiché trattano dati personali per conto del titolare del trattamento seguendo le sue istruzioni e non per i propri scopi.
• Consulente IT: In questo caso, l’accesso ai dati personali da parte del consulente IT è incidentale e non costituisce l’obiettivo principale del servizio fornito. Pertanto, il consulente non è considerato un responsabile del trattamento, evidenziando l’importanza dell’intento e della funzione principale del servizio nella determinazione del ruolo ai sensi del GDPR.
• Fornitore di servizi cloud: Questo esempio sottolinea l’importanza per i titolari del trattamento di assicurarsi che i contratti con i fornitori di servizi cloud siano conformi al GDPR e che i dati personali siano trattati esclusivamente per le finalità specificate dal titolare.

In generale, questi esempi riflettono la necessità di un’analisi caso per caso per determinare se un’entità agisce come un responsabile o un titolare del trattamento, basata sul grado di controllo che ha sulle finalità e sui mezzi del trattamento dei dati personali. È cruciale per i titolari del trattamento valutare attentamente le relazioni con i fornitori di servizi per garantire la conformità al GDPR e proteggere i diritti degli interessati.

Il GDPR ha introdotto disposizioni specifiche che attribuiscono obblighi diretti ai responsabili del trattamento dei dati, evidenziando l’importanza della loro funzione nella protezione dei dati personali. Questi obblighi includono:

1. Impegno alla Riservatezza: I responsabili del trattamento devono assicurarsi che le persone autorizzate a trattare dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza (Articolo 28, paragrafo 3).
2. Tenuta dei Registri: È richiesto ai responsabili del trattamento di mantenere un registro di tutte le categorie di attività di trattamento svolte sotto la loro responsabilità (Articolo 30, paragrafo 2).
3. Misure Tecniche e Organizzative: Devono essere implementate misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio (Articolo 32).
4. Designazione del Responsabile della Protezione dei Dati (DPO): I responsabili del trattamento devono designare un DPO sotto determinate condizioni, come specificato nell’Articolo 37.
5. Notifica di Violazione dei Dati: In caso di violazione dei dati personali, i responsabili del trattamento hanno il dovere di notificare il titolare del trattamento senza ingiustificato ritardo dopo essere venuti a conoscenza della violazione (Articolo 33, paragrafo 2).
6. Trasferimenti di Dati verso Paesi Terzi: Le norme sui trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali si applicano sia ai responsabili che ai titolari del trattamento (Capo V).

L’European Data Protection Board (EDPB) sottolinea che l’Articolo 28, paragrafo 3, impone obblighi diretti ai responsabili del trattamento, includendo il dovere di assistere i titolari del trattamento nel garantire la conformità con il regolamento. Questo sottolinea la responsabilità condivisa tra titolari e responsabili del trattamento nel proteggere i dati personali e assicurare la conformità al GDPR.

La selezione del responsabile del trattamento da parte del titolare è un processo critico delineato nel GDPR, che sottolinea la necessità di assicurarsi che il responsabile offra garanzie adeguate per la protezione dei dati personali. Questo processo implica una valutazione approfondita delle capacità del responsabile del trattamento di soddisfare i requisiti del GDPR, inclusi quelli relativi alla sicurezza dei dati e alla tutela dei diritti degli interessati.

Elementi Chiave nella Scelta del Responsabile del Trattamento:

1. Garanzie Sufficienti: Il titolare del trattamento deve selezionare responsabili che dimostrino di poter implementare misure tecniche e organizzative adeguate per garantire la conformità con il GDPR e la protezione dei diritti degli interessati.
2. Valutazione delle Garanzie: La valutazione delle garanzie offerte dal responsabile del trattamento richiede un’analisi dettagliata e la raccolta di documentazione pertinente, come politiche sulla privacy, termini di servizio, e certificazioni riconosciute (es. ISO 27000).
3. Valutazione del Rischio: La decisione del titolare del trattamento deve basarsi su un’analisi del rischio che consideri la natura, l’ambito, il contesto e le finalità del trattamento, nonché i rischi per i diritti e le libertà degli individui.
4. Elementi per la Valutazione: Tra gli elementi da considerare nella valutazione delle garanzie ci sono le competenze tecniche del responsabile, la sua affidabilità, le risorse a disposizione e la reputazione sul mercato. L’adesione a codici di condotta o meccanismi di certificazione può servire come prova delle garanzie offerte.
5. Obligo Continuo: La responsabilità del titolare del trattamento di assicurarsi che il responsabile offra garanzie sufficienti è un obbligo continuo, che richiede verifiche periodiche attraverso audit e ispezioni.

Aspetti Contrattuali:

• Forma del Contratto: Qualsiasi trattamento di dati personali deve essere regolato da un contratto o altro atto giuridico in forma scritta, che vincoli il responsabile del trattamento nei confronti del titolare e specifichi gli obblighi di entrambe le parti.
• Contenuto del Contratto: Il contratto deve includere dettagli specifici su come verranno implementati gli obblighi del GDPR, andando oltre la semplice ripetizione delle sue disposizioni. Deve anche adattarsi alla specifica attività di trattamento, tenendo conto dei rischi associati.
• Clausole Contrattuali Tipo (SCC): Le parti possono scegliere di utilizzare SCC adottate dalla Commissione o da un’autorità di controllo, ma non sono obbligate a farlo. Qualsiasi clausola aggiuntiva non deve contraddire le SCC o compromettere la protezione offerta dal GDPR.
• Responsabilità Condivisa: Sia il titolare che il responsabile del trattamento hanno la responsabilità di garantire che esista un contratto adeguato. L’assenza di un contratto aggiornato ai sensi del GDPR o l’accettazione di termini non conformi possono portare a violazioni regolamentari.

La scelta e la gestione del rapporto con i responsabili del trattamento sono processi fondamentali per garantire la conformità al GDPR e la protezione efficace dei dati personali.

Il contenuto del contratto o di altro atto giuridico tra il titolare e il responsabile del trattamento è dettagliatamente definito dall’articolo 28, paragrafo 3, del GDPR, secondo l’interpretazione dell’EDPB. Questo contratto deve specificare chiaramente gli aspetti chiave del trattamento dei dati personali per garantire trasparenza, responsabilità e conformità alla legge.

Contenuto Richiesto del Contratto:

1. Oggetto del Trattamento: Deve essere definito in modo specifico per chiarire l’oggetto principale del trattamento, come le registrazioni di videosorveglianza in una struttura di massima sicurezza.
2. Durata del Trattamento: Deve essere indicato il periodo esatto o i criteri per determinarlo, ad esempio, facendo riferimento alla durata del contratto di trattamento.
3. Natura del Trattamento: Bisogna descrivere dettagliatamente le operazioni di trattamento e le finalità, ad esempio, la raccolta, registrazione, archiviazione di immagini per l’accertamento di illeciti.
4. Tipologia dei Dati Personali: I dati devono essere specificati dettagliatamente, evitando generalizzazioni e includendo, se applicabile, le categorie particolari di dati.
5. Categorie degli Interessati: Deve essere indicato chiaramente a chi si riferiscono i dati, come visitatori, dipendenti, corrieri, ecc.

Istruzioni Documentate del Titolare del Trattamento:

Il titolare deve fornire istruzioni documentate al responsabile del trattamento, che definiscono il trattamento consentito e inaccettabile dei dati, le procedure dettagliate e le modalità di protezione dei dati. Il responsabile del trattamento non deve agire al di fuori di queste istruzioni. Se lo fa, può essere considerato titolare del trattamento per quel trattamento specifico, violando il GDPR.

Trasferimenti di Dati a Paesi Terzi:

Il contratto deve includere requisiti specifici per i trasferimenti di dati a paesi terzi o organizzazioni internazionali, in linea con il Capo V del GDPR. Questo è particolarmente importante quando il responsabile del trattamento delega alcune attività di trattamento a sub-responsabili in paesi terzi o ha divisioni extra-UE.

Trattamento Obbligatorio per Legge:

Il responsabile del trattamento può trattare i dati senza istruzioni documentate del titolare solo se obbligato da leggi dell’UE o dello Stato membro. In tal caso, deve informare il titolare del trattamento di questa esigenza legale prima di procedere, a meno che la legge non proibisca tale informazione per importanti motivi di interesse pubblico.

Importanza dei Dettagli nel Contratto:

Questi requisiti sottolineano l’importanza di negoziare e redigere attentamente il contratto o altro atto giuridico che regola il trattamento dei dati personali. Il contratto dovrebbe andare oltre la semplice ripetizione delle disposizioni del GDPR, fornendo dettagli specifici e concretezza sulle modalità di trattamento e le misure di sicurezza richieste. Questo approccio non solo garantisce la conformità legale ma aiuta anche a chiarire le responsabilità e le aspettative di entrambe le parti, contribuendo alla protezione dei diritti e delle libertà degli interessati.

Il GDPR stabilisce chiaramente che il responsabile del trattamento può operare solo seguendo le istruzioni documentate fornite dal titolare del trattamento. Questo aspetto sottolinea la responsabilità del titolare nel definire e comunicare in modo preciso il perimetro entro il quale i dati personali possono essere trattati, garantendo così che ogni attività di trattamento sia conforme alle disposizioni legali e rispetti i diritti degli interessati.

Elementi Chiave da Includere nell’Accordo:

1. Istruzioni Documentate: È fondamentale che il titolare del trattamento fornisca istruzioni dettagliate e documentate riguardo al trattamento dei dati personali, specificando quali attività sono consentite e quali no. Queste istruzioni possono riguardare diverse fasi del trattamento, come la raccolta, l’archiviazione, la trasmissione e l’eliminazione dei dati.
2. Limiti del Trattamento: Il responsabile del trattamento deve attenersi strettamente alle istruzioni fornite e non può decidere autonomamente su finalità e mezzi del trattamento. Qualora il responsabile agisca al di fuori delle istruzioni ricevute, potrebbe essere considerato a tutti gli effetti come titolare del trattamento per quelle specifiche operazioni, violando il GDPR.
3. Documentazione delle Istruzioni: Le istruzioni fornite dal titolare devono essere documentate in modo chiaro e accessibile, potenzialmente attraverso un allegato al contratto o in forma di comunicazione scritta come email. Questo serve a garantire che ci sia una prova tangibile delle direttive impartite.
4. Trasferimenti Internazionali: Il contratto deve includere disposizioni specifiche per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, assicurando che tali trasferimenti siano in linea con il Capo V del GDPR. Ciò è particolarmente rilevante se il responsabile del trattamento intende delegare alcune operazioni a sub-responsabili fuori dall’UE o se ha sedi in paesi terzi.
5. Trattamento Obbligatorio per Legge: In casi eccezionali, il responsabile del trattamento può essere tenuto a trattare o trasferire dati personali in base a obblighi legali. Anche in questa circostanza, deve informare il titolare del trattamento di tale obbligo, a meno che specifiche disposizioni legali non vietino tale comunicazione per motivi di interesse pubblico.

Importanza della Negoziazione e Redazione degli Accordi:

La negoziazione e la redazione degli accordi di trattamento dei dati richiedono attenzione e precisione, poiché devono riflettere accuratamente le responsabilità e le aspettative di entrambe le parti. Potrebbe essere necessaria una consulenza legale per assicurarsi che l’accordo sia conforme alle disposizioni del GDPR e per interpretare correttamente eventuali obblighi legali che influenzano il trattamento dei dati.

Questo processo non solo garantisce la conformità normativa, ma stabilisce anche una base chiara per la tutela dei diritti degli interessati e la protezione dei dati personali, rafforzando la fiducia tra titolare e responsabile del trattamento.

Il GDPR pone grande enfasi sulla protezione dei dati personali, richiedendo che sia il titolare che il responsabile del trattamento adottino misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Questo include obblighi specifici per il responsabile del trattamento, come l’assicurare che il personale autorizzato al trattamento dei dati personali si impegni alla riservatezza e l’implementazione di misure di sicurezza adeguate.

Impegno alla Riservatezza

1. Obbligo di Riservatezza: Il responsabile del trattamento deve assicurare che tutte le persone autorizzate a trattare i dati personali siano vincolate da un impegno di riservatezza. Questo può essere realizzato tramite accordi contrattuali o obblighi legali esistenti.
2. Ampia Applicazione: L’obbligo di riservatezza copre non solo i dipendenti diretti, ma anche eventuali lavoratori temporanei o altri individui che hanno accesso ai dati personali nel corso delle loro funzioni.
3. Protezione dei Dati: L’obbligo di riservatezza deve essere sufficientemente ampio da includere tutti i dati personali trattati, nonché i dettagli del rapporto di trattamento.

Misure di Sicurezza

1. Obblighi di Sicurezza: L’articolo 32 del GDPR richiede l’adozione di misure di sicurezza tecniche e organizzative adeguate. Questo obbligo si applica sia al titolare che al responsabile del trattamento e deve essere riflettuto nel contratto di trattamento.
2. Dettagli sulle Misure di Sicurezza: Il contratto deve specificare o fare riferimento alle misure di sicurezza che saranno adottate. È importante che il contratto consenta al titolare del trattamento di valutare l’adeguatezza delle misure di sicurezza e di soddisfare i propri obblighi di responsabilità ai sensi del GDPR.
3. Revisione Periodica: Le misure di sicurezza dovrebbero essere soggette a revisioni periodiche per assicurare che rimangano adeguate rispetto ai rischi, che possono cambiare nel tempo.
4. Istruzioni e Approvazione: Il livello di dettaglio e l’approccio alle misure di sicurezza possono variare in base alle circostanze. Il titolare del trattamento dovrebbe fornire istruzioni chiare sulle misure di sicurezza da implementare e approvare le proposte del responsabile del trattamento.

Riservatezza dei Dati Personali

Il responsabile del trattamento deve assicurare che tutte le persone autorizzate a trattare i dati personali siano vincolate da un impegno di riservatezza. Questo può essere realizzato attraverso accordi contrattuali specifici o in virtù di obblighi legali preesistenti. È essenziale che questo impegno di riservatezza sia appropriato e sufficientemente ampio da coprire tutti i dati personali trattati, oltre ai dettagli del rapporto di trattamento stesso.

Sicurezza dei Dati

L’articolo 32 del GDPR richiede al responsabile del trattamento di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Queste misure devono essere riflettute nel contratto di trattamento, che non dovrebbe limitarsi a ribadire le disposizioni del GDPR ma dovrebbe fornire dettagli concreti sulle misure di sicurezza adottate.

Il contratto deve includere:

• Informazioni sulle misure di sicurezza specifiche che saranno implementate.
• L’obbligo per il responsabile del trattamento di ottenere l’approvazione del titolare del trattamento prima di apportare modifiche alle misure di sicurezza.
• La necessità di una revisione periodica delle misure di sicurezza per garantire che rimangano adeguate rispetto ai rischi, che possono cambiare nel tempo.

Il grado di dettaglio delle informazioni sulle misure di sicurezza incluse nel contratto deve permettere al titolare del trattamento di valutare l’adeguatezza delle misure in conformità con l’articolo 32, paragrafo 1, del GDPR.

Inoltre, queste informazioni aiutano il titolare del trattamento a soddisfare il proprio obbligo di responsabilità.

Questo processo collaborativo tra titolare e responsabile del trattamento è cruciale per garantire che i dati personali siano trattati in modo sicuro, rispettando gli obblighi legali e proteggendo i diritti degli interessati.

Condizioni per Assumere un Altro Responsabile del Trattamento

1. Autorizzazione Scritta: Il responsabile del trattamento originario non può ingaggiare un altro responsabile del trattamento senza ottenere prima l’autorizzazione scritta del titolare del trattamento. Questa autorizzazione può essere specifica, per singoli sub-responsabili, o generale, coprendo l’assunzione di sub-responsabili entro certi parametri definiti.
2. Notifica di Cambiamenti: In caso di autorizzazione generale, il responsabile del trattamento deve informare il titolare del trattamento di eventuali cambiamenti nei sub-responsabili, offrendo al titolare la possibilità di opporsi a tali cambiamenti. È importante che il contratto tra titolare e responsabile del trattamento stabilisca chiaramente il processo per tali notifiche.
3. Contratto tra Responsabili: Quando un responsabile del trattamento decide di assumere un altro responsabile, è necessario che fra loro sia stipulato un contratto che imponga al sub-responsabile gli stessi obblighi di protezione dei dati previsti per il responsabile originario. Questo assicura che tutti i responsabili coinvolti nel trattamento dei dati personali siano vincolati dagli stessi standard di sicurezza e conformità.
4. Audit e Ispezioni: Il contratto con il sub-responsabile deve includere l’obbligo di consentire e contribuire agli audit e alle ispezioni da parte del titolare del trattamento o di un revisore incaricato. Questo permette al titolare di verificare direttamente la conformità del sub-responsabile con le norme GDPR.
5. Responsabilità: Il responsabile del trattamento originario rimane responsabile nei confronti del titolare per il rispetto degli obblighi di protezione dei dati da parte di qualsiasi sub-responsabile che assuma. Questo significa che il responsabile originario deve assicurarsi che i sub-responsabili siano adeguatamente selezionati e in grado di garantire la conformità con il GDPR.

Assistenza nelle Richieste degli Interessati

Il responsabile del trattamento deve assistere il titolare nell’adempimento delle richieste degli interessati, fornendo misure tecniche e organizzative adeguate. La capacità di fornire questa assistenza dipende dalla natura del trattamento e dal tipo di attività affidata al responsabile del trattamento.

1. Natura dell’Assistenza: L’assistenza può variare da semplici inoltri tempestivi delle richieste degli interessati a compiti più specifici e tecnici, specialmente quando il responsabile del trattamento ha il compito di estrarre e gestire i dati personali.
2. Responsabilità del Titolare: Nonostante il supporto del responsabile del trattamento, è il titolare del trattamento che ha la responsabilità finale di soddisfare le richieste degli interessati. Il titolare deve valutare l’ammissibilità delle richieste caso per caso o fornire istruzioni chiare al responsabile del trattamento su come gestire le richieste.
3. Tempi di Risposta: I termini per rispondere alle richieste degli interessati, come definiti nel Capo III del GDPR, non possono essere estesi sulla base della necessità di ottenere informazioni dal responsabile del trattamento.

Queste disposizioni assicurano che i diritti degli interessati siano salvaguardati in ogni fase del trattamento dei dati personali e che ci sia una chiara responsabilità e trasparenza tra titolare e responsabile del trattamento, nonché tra quest’ultimo e eventuali sub-responsabili.

L’articolo 28, paragrafo 3, lettera f) del GDPR impone al responsabile del trattamento l’obbligo di assistere il titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli articoli 32 a 36, che riguardano la sicurezza del trattamento, la notifica di violazioni dei dati personali, la valutazione d’impatto sulla protezione dei dati (DPIA) e la consultazione preventiva con l’autorità di controllo. Questo richiede un approccio collaborativo e proattivo da parte del responsabile del trattamento per supportare il titolare in queste aree critiche.

Dettagli su Come Fornire Assistenza

Il contratto tra titolare e responsabile del trattamento non dovrebbe limitarsi a ribadire gli obblighi di assistenza, ma dovrebbe specificare in modo dettagliato come il responsabile è tenuto ad assistere il titolare. Questo può includere la definizione di procedure, la fornitura di moduli modello, e l’implementazione di sistemi informativi che facilitino la raccolta e la condivisione delle informazioni necessarie.

Notifica delle Violazioni dei Dati

Il responsabile è tenuto ad informare tempestivamente il titolare di qualsiasi violazione dei dati personali. Questo supporto è cruciale per permettere al titolare di adempiere all’obbligo di notificare le violazioni all’autorità di controllo e, se necessario, agli interessati, senza indebito ritardo. Il contratto dovrebbe specificare i tempi per la notifica e i dettagli del punto di contatto.

Valutazioni d’Impatto e Consultazioni

Il responsabile del trattamento deve, inoltre, assistere il titolare nel condurre valutazioni d’impatto sulla protezione dei dati e, se necessario, nella consultazione con l’autorità di controllo. Questo supporto può variare a seconda della natura del trattamento e delle informazioni disponibili al responsabile, ma è fondamentale per identificare e mitigare i rischi legati al trattamento dei dati personali.

Responsabilità e Iniziativa

È importante sottolineare che l’assistenza del responsabile del trattamento non trasferisce la responsabilità degli obblighi dal titolare al responsabile. Il titolare rimane responsabile per l’adempimento degli obblighi GDPR e deve prendere l’iniziativa nelle valutazioni d’impatto, nella gestione delle violazioni dei dati e nelle altre aree richieste, con il responsabile che fornisce supporto “ove necessario e su richiesta”.

Il contratto dovrebbe specificare chiaramente la frequenza e le modalità attraverso cui il flusso di informazioni dovrebbe avvenire tra il titolare del trattamento e il responsabile del trattamento, assicurando che il titolare sia sempre aggiornato sulle operazioni di trattamento.

Ciò potrebbe implicare, ad esempio, la condivisione di parti rilevanti dei registri delle attività di trattamento da parte del responsabile con il titolare. È importante che il responsabile del trattamento metta a disposizione tutte le informazioni necessarie riguardo le modalità con cui verrà eseguito il trattamento per conto del titolare. Queste informazioni dovrebbero coprire aspetti quali i sistemi impiegati, le misure di sicurezza adottate, la gestione dei dati, la loro localizzazione, i trasferimenti, l’accesso, i destinatari dei dati, l’uso di eventuali subresponsabili, e così via.

Il contratto dovrebbe altresì delineare le modalità con cui sia possibile realizzare e contribuire a controlli e audit, sia da parte del responsabile che da parte di un revisore esterno designato dallo stesso. È fondamentale che ci sia una collaborazione leale per decidere la necessità di audit presso le strutture del responsabile del trattamento, oltre a definire procedure specifiche per l’ispezione dei subresponsabili da parte sia del responsabile che del titolare del trattamento.

In caso di istruzioni che potrebbero contravvenire alle normative sulla protezione dei dati, come stabilito dall’articolo 28, paragrafo 3, il responsabile del trattamento è tenuto a notificare senza indugi al titolare del trattamento qualsiasi istruzione che, secondo il suo giudizio, possa violare il GDPR o altre leggi relative alla protezione dei dati degli Stati membri o dell’Unione Europea. Questo perché il responsabile del trattamento deve seguire le direttive del titolare del trattamento ma ha anche l’obbligo di rispettare la legge, creando potenzialmente un conflitto tra questi due doveri.

Se viene sollevata una preoccupazione riguardo a un’istruzione potenzialmente illegale, il responsabile del trattamento deve valutare la situazione per determinare se l’istruzione contravvenga effettivamente alle norme sulla protezione dei dati. L’EDPB suggerisce che le parti stabiliscano nel contratto le conseguenze di una notifica di istruzione illegale da parte del responsabile del trattamento, incluso, ad esempio, l’inserimento di una clausola che permetta la risoluzione del contratto nel caso in cui il responsabile del trattamento continui a seguire un’istruzione illecita.

I provvedimenti del Garante linee guida nella differenza tra Titolare e responsabile

In particolare, ci sono state molteplici occasioni in cui il Garante ha chiarito che, nonostante la definizione contrattuale di un’entità come titolare del trattamento, questa deve essere considerata responsabile del trattamento in determinate circostanze (vedi, ad esempio, la decisione del 15 giugno 2011 relativa agli agenti che svolgono attività promozionali e quella del 29 aprile 2009 riguardante l’appalto di servizi).

Provvedimento del 15.06.2011

Il provvedimento del Garante per la protezione dei dati personali del 15 giugno 2011 riguarda la titolarità del trattamento di dati personali da parte di soggetti che utilizzano agenti per attività promozionali.

Questo documento stabilisce che, anche se un’azienda si avvale di agenti esterni per la commercializzazione dei suoi prodotti o servizi, rimane il titolare del trattamento dei dati personali.

Ciò implica che l’azienda principale ha la responsabilità finale di garantire la conformità con le normative sulla protezione dei dati, nonostante l’uso di terze parti per attività promozionali

Il provvedimento sottolinea l’importanza di designare formalmente questi agenti come responsabili del trattamento, stabilendo chiaramente i loro ruoli e responsabilità. Questo è essenziale per garantire che tutte le parti coinvolte rispettino le normative vigenti in materia di privacy e protezione dei dati. Inoltre, il provvedimento del Garante del 15 giugno 2011 è stato citato in vari altri documenti e linee guida successivi, dimostrando la sua rilevanza nel contesto della regolamentazione della privacy in Italia

Provvedimento del 29.04.2009

Il provvedimento del Garante per la protezione dei dati personali del 29 aprile 2009 ha affrontato diverse questioni relative alla protezione dei dati personali.

Uno degli aspetti trattati in questo provvedimento riguardava la titolarità del trattamento dei dati personali da parte di Poste Italiane, anche in caso di appalto.

Il Garante ha stabilito che Poste Italiane rimaneva il titolare del trattamento dei dati personali, nonostante l’uso di soggetti esterni per determinate attività

Inoltre, il provvedimento ha affrontato la questione degli scontrini fiscali “parlanti” per l’acquisto di farmaci, stabilendo delle prescrizioni per la protezione dei dati personali dei clienti in questo contesto

.Il provvedimento del 29 aprile 2009 è stato citato in altri documenti e discussioni relative alla protezione dei dati personali, dimostrando la sua importanza e rilevanza nel contesto normativo italiano sulla privacy

Questo provvedimento è stato preso in considerazione anche in relazione alla conformità con il successivo Regolamento Generale sulla Protezione dei Dati (GDPR), che ha ulteriormente rafforzato i diritti degli individui rispetto al trattamento dei loro dati personali

Il responsabile del trattamento ha l’obbligo di non elaborare i dati personali oltre le direttive ricevute dal titolare del trattamento. Anche se è possibile che le istruzioni fornite dal titolare lascino una certa libertà al responsabile, permettendogli di decidere sulle migliori misure tecniche e organizzative da applicare a seconda delle situazioni specifiche, il responsabile deve comunque operare seguendo le linee guida stabilite dal titolare.

In caso di mancato rispetto delle istruzioni ricevute, il responsabile del trattamento si troverà a dover affrontare sanzioni sia nei confronti del titolare del trattamento che per il trattamento dei dati che ha effettuato, arrivando a essere considerato lui stesso come titolare del trattamento per quelle specifiche azioni.

La Corte di Cassazione ha rafforzato questa interpretazione, sottolineando che i ruoli di “responsabile del trattamento” e di “titolare del trattamento” devono essere compresi in termini funzionali, non meramente formali. L’obiettivo è quello di distribuire le responsabilità basandosi sui ruoli reali svolte dalle parti, una divisione che deve emergere dall’analisi concreta dei fatti o delle circostanze specifiche del caso. Questa ripartizione delle responsabilità è considerata un principio fondamentale e, come tale, non può essere oggetto di negoziazione.

Sul punto, la Suprema Corte ha chiarito che affinché ricorra la figura del “responsabile del trattamento”, è necessario che il trattamento si svolga effettivamente nell’osservanza delle istruzioni impartite dal titolare del trattamento. Nel caso di inosservanza delle stesse, il responsabile del trattamento potrà essere riconosciuto titolare del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare del trattamento effettivo

II. Atto di designazione: contenuto e forma

L’articolo 28, comma 3, del GDPR specifica in dettaglio le caratteristiche e i requisiti che deve avere l’atto di nomina del responsabile del trattamento, andando oltre quanto definito dalla normativa precedente.

Questo atto può essere rappresentato da un contratto o da un altro tipo di documento legale che stabilisca:

i) l’oggetto del trattamento;

ii) la durata del trattamento;

iii) la natura e gli scopi del trattamento;

iv) il tipo di dati personali trattati;

v) le categorie di soggetti interessati;

vi) gli obblighi e i diritti del titolare del trattamento.

Inoltre, l’atto deve includere una serie di obblighi specifici per il responsabile, elencati nell’articolo 28, comma 3, dalle lettere a) a h).

Il titolare ha la possibilità di nominare il responsabile utilizzando lo stesso contratto che regola il rapporto esistente tra le parti, arricchendolo con i requisiti minimi menzionati nella normativa, oppure attraverso un contratto separato o un altro documento legale, a condizione che questo sia adeguato a impegnare il responsabile al rispetto degli obblighi previsti.

Nelle Linee Guida 7/2020 riguardanti i concetti di titolare e responsabile del trattamento, l’EDPB ha chiarito che il documento che regola il trattamento dei dati non dovrebbe limitarsi a ripetere le definizioni generali degli elementi già menzionati, ma dovrebbe fornire dettagli più specifici e concreti. Questo include, ad esempio, i criteri specifici che devono essere rispettati per il trattamento dei dati o il livello di sicurezza necessario per il tipo di trattamento dei dati descritto nel contratto o nell’atto.

Le disposizioni richieste dall’articolo 28, paragrafo 3, che devono essere incluse nell’atto di nomina possono essere categorizzate in due gruppi: quelle relative ai doveri di assistenza al titolare nelle operazioni di trattamento dei dati (lettere e, f, e h) e quelle che riguardano l’obbligo di assicurare la sicurezza e la confidenzialità dei dati (lettere b, c, d e g).

Vale la pena menzionare la disposizione indicata nella lettera a), che stabilisce che il responsabile del trattamento debba operare sulla base di “istruzioni documentate” fornite dal titolare. Secondo alcuni studiosi, questa clausola, data l’assenza di un obbligo corrispondente imposto al titolare di fornire istruzioni documentate al responsabile, sembra richiedere a quest’ultimo di registrare le istruzioni ricevute per poter dimostrare di aver agito in conformità con il GDPR. Questo significa che, anche se le istruzioni fossero ricevute oralmente, ad esempio in situazioni d’urgenza, il responsabile avrebbe l’obbligo di documentarle successivamente

D’altro canto, la mancata designazione da parte del titolare del trattamento espone anche il soggetto che agisce per suo conto, e che dovrebbe essere riconosciuto come responsabile del trattamento, a conseguenze negative, inclusa la possibilità di sanzioni.

Questo è evidenziato da alcune recenti decisioni del Garante per la Protezione dei Dati Personali (GPDP), come quelle in cui sono stati sanzionati tutti i soggetti coinvolti nella catena del trattamento (titolare del trattamento, società di servizi e il subfornitore) in casi dove la società di servizi e il suo subfornitore hanno operato senza che il loro ruolo di responsabile e subresponsabile del trattamento fosse formalmente definito secondo l’articolo 28 del GDPR (provvedimenti del 22.7.2021, n. 292, 293 e 294).

Questa situazione deriva dal fatto che il trattamento dei dati, eseguito per conto e nell’interesse del titolare, avveniva senza un’adeguata base legale. Tuttavia, è importante notare che, di fronte a una possibile inattività del titolare, il responsabile del trattamento non ha altre opzioni se non quella di sollecitare la formalizzazione della sua nomina o, in alternativa, di rinunciare all’incarico.

Il Garante per la Protezione dei Dati Personali (GPDP) ha preso in considerazione questo aspetto in due provvedimenti del 2021. In un caso, ha sanzionato il titolare per non aver nominato come responsabile del trattamento la società a cui aveva affidato servizi in outsourcing. Nell’altro caso, ha ritenuto sufficiente ammonire la società poiché quest’ultima aveva più volte sollecitato il titolare a nominarla come responsabile del trattamento e aveva adottato misure in linea con la normativa sulla privacy, come l’istituzione del registro dei trattamenti (provvedimenti del 14.1.2021, n. 9 e 10).

Come già indicato dall’articolo 29 del Codice Privacy, l’articolo 28, paragrafo 9, del GDPR stabilisce che l’atto di designazione del responsabile del trattamento debba essere redatto in forma scritta, aggiungendo che può essere concluso anche in formato elettronico ad esempio attraverso la selezione di una casella in un modulo online

III. Il ricorso a clausole standard

I paragrafi 7 e 8 dell’articolo 28 del GDPR aprono la possibilità che la Commissione Europea o le autorità di controllo nazionali possano adottare clausole contrattuali standard per la nomina del responsabile del trattamento.

Queste clausole riflettono i requisiti minimi specificati nel paragrafo 3 dell’articolo 28. In questo modo, il legislatore europeo ha deciso di seguire un approccio già testato in precedenza per il trasferimento di dati verso paesi terzi, facilitando per i titolari del trattamento l’adempimento dell’obbligo di regolamentare adeguatamente tali trasferimenti. Questo fornisce uno strumento semplice da utilizzare e sicuramente in linea con la normativa vigente.

A fronte della maggiore complessità connessa alla designazione del responsabile del trattamento che emerge dal disposto del GDPR, il ricorso a clausole contrattuali modello appare senza dubbio auspicabile; ciò soprattutto in considerazione dello squilibrio contrattuale che molto spesso caratterizza le dinamiche tra grossi fornitori di servizi, che trattano i dati in qualità di responsabili, e gli utenti di tali servizi, che sono titolari del trattamento.

In queste situazioni, il titolare del trattamento non ha il potere negoziale necessario per imporre obblighi o adempimenti al responsabile del trattamento.

Di conseguenza, l’atto di nomina viene predisposto unilateralmente dal responsabile.

L’utilizzo di clausole standard potrebbe almeno garantire al titolare che la designazione sia compatibile con gli obblighi di legge,

Come evidenziato dalla dottrina, l’intento del legislatore europeo è quello di fornire uno strumento che protegga non solo le parti coinvolte nell’accordo, ma soprattutto i terzi che potrebbero essere impattati dagli effetti dell’accordo sul trattamento dei dati stipulato tra il titolare e il responsabile

Il 4 giugno 2021, la Commissione Europea ha adottato due decisioni di esecuzione riguardanti le nuove clausole contrattuali standard

Le nuove clausole contrattuali standard mirano a fornire un modello aggiornato in linea con le novità introdotte dal Regolamento, adottando un approccio flessibile. Questo è stato realizzato sia dividendo le clausole contrattuali standard in moduli sia estendendo il numero di parti che possono aderire al contratto e utilizzare le stesse clausole.

La figura del responsabile interno

Durante l’applicazione del Codice per la protezione dei dati personali, la prassi ha introdotto la figura del responsabile interno del trattamento, cioè una persona all’interno dell’organizzazione del titolare (sia dipendente che collaboratore) a cui venivano delegate specifiche responsabilità in materia di protezione dei dati.

Questo soggetto aveva un certo grado di autonomia nel decidere i mezzi e le modalità di trattamento dei dati, pur rispettando le finalità stabilite dal titolare. Sebbene questa figura non fosse mai stata formalmente definita a livello legislativo, era considerata in linea con la definizione di responsabile del trattamento fornita dalla direttiva 95/46/CE e dal Codice privacy.

Dato che il GDPR non prevede esplicitamente la figura del responsabile interno del trattamento, spetta agli interpreti valutare la sua compatibilità con il nuovo quadro normativo. Il GDPR descrive in modo dettagliato la figura del responsabile del trattamento, introducendo numerosi obblighi specifici per questa figura. La natura di alcuni di questi obblighi sembra suggerire l’incompatibilità della figura del responsabile interno con le disposizioni del GDPR. Ad esempio, obblighi come la creazione di un registro dei trattamenti, la nomina di un rappresentante nell’Unione Europea, o la designazione di un responsabile per la protezione dei dati personali sono chiaramente pensati per soggetti esterni all’organizzazione del titolare.

Inoltre, molti degli obblighi elencati nell’articolo 28, paragrafo 3, come l’assistenza al titolare nell’adozione di misure tecniche e organizzative, l’obbligo di cancellare o restituire i dati al termine del servizio, o l’obbligo di consentire al titolare di effettuare ispezioni e controlli, sembrano superflui se applicati a un soggetto interno all’organizzazione del titolare. Questa interpretazione è supportata anche da Pelino (2, pag. 149). Infine, l’articolo 29 del GDPR distingue chiaramente tra le figure del titolare e del responsabile del trattamento e i soggetti che agiscono sotto l’autorità di questi ultimi, rafforzando ulteriormente l’idea di una potenziale incompatibilità della figura del responsabile interno con il regolamento.

Quest’interpretazione è supportata dal parere del 12 maggio 2020 del Garante per la Protezione dei Dati Personali (GPDP), che ha chiarito il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) previsti dal decreto legislativo n. 231/2001 in relazione al trattamento dei dati personali svolto nell’ambito delle loro funzioni.

Il Garante ha stabilito che l’OdV non può essere considerato né un titolare autonomo del trattamento, a causa della definizione legale dei suoi compiti e delle direttive ricevute dall’organo dirigente, né un responsabile del trattamento, poiché non è una persona giuridicamente distinta dal titolare per conto del quale opera seguendo le istruzioni ricevute. Invece, l’OdV è considerato parte integrante dell’ente che, successivamente, nomina i singoli membri dell’Organismo come soggetti autorizzati al trattamento dei dati, i quali sono tenuti a seguire le istruzioni del titolare.

Rapporto tra titolare e responsabile del trattamento

Il ruolo del titolare del trattamento e la sua interazione con la figura del responsabile del trattamento assumono un’importanza fondamentale nell’ambito del GDPR, stabilendo chi sia tenuto al rispetto delle varie disposizioni in materia di protezione dei dati e in che modo le persone interessate possano attuare i propri diritti in maniera concreta.

Sia i titolari che i responsabili del trattamento sono soggetti a possibili sanzioni finanziarie se non aderiscono agli obblighi specifici delineati dal GDPR che li riguardano. Entrambi hanno l’obbligo diretto di rispondere alle autorità di controllo, fornendo e mantenendo la documentazione richiesta, collaborando durante le indagini e ottemperando agli ordini amministrativi. È fondamentale ricordare, inoltre, che i responsabili del trattamento sono tenuti a seguire scrupolosamente le direttive dei titolari del trattamento nelle loro operazioni.

Il principio di responsabilità, unito alle disposizioni dettagliate su come adempiere ai requisiti del GDPR e alla ripartizione dei compiti, richiede l’identificazione precisa dei vari ruoli assunti dai soggetti partecipanti al trattamento dei dati personali.

Esempio:

In un’azienda che utilizza un sistema di monitoraggio del tempo di lavoro dei dipendenti, l’azienda stessa agisce come titolare del trattamento, poiché decide le finalità e i mezzi del trattamento dei dati personali dei dipendenti. Un fornitore di software esterno, utilizzato per gestire il sistema di monitoraggio, sarebbe il responsabile del trattamento, operando secondo le istruzioni fornite dall’azienda.

In questo scenario, l’azienda (titolare del trattamento) deve assicurarsi che il sistema rispetti i principi del GDPR, come la minimizzazione dei dati e la sicurezza dei dati. Deve anche essere in grado di dimostrare la conformità con il principio di responsabilità, ad esempio, attraverso la documentazione delle misure di sicurezza adottate e la regolarità delle verifiche sulla protezione dei dati. Il fornitore di software (responsabile del trattamento), d’altra parte, deve seguire le istruzioni dell’azienda riguardo al trattamento dei dati e adottare misure adeguate per proteggere i dati personali dei dipendenti.

Questa chiara definizione dei ruoli è fondamentale per garantire che tutte le parti coinvolte comprendano le loro responsabilità e contribuiscano alla protezione dei dati personali in conformità con il GDPR.

Q