x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

I soggetti coinvolti nel trattamento dei dati personali: ruoli e responsabilità

Soggetti privacy
Soggetti privacy

Altri articoli dell'autore

Diritto /

Privacy: Unione Europea e USA, quando finirà il conflitto?

Diritto /

Controlli sui lavoratori: provvedimenti del Garante

Diritto /

Modernizzazione del diritto d’autore

Indice

1. Premessa sui ruoli privacy

2. La qualificazione della contitolarità del trattamento

3. Responsabili o titolari?

Letture consigliate

 

1. Premessa sui ruoli privacy

L’articolazione della realtà operativa aziendale comporta, per sua natura, il ricorso a molteplici soggetti che, a vario titolo, entrano nel merito delle operazioni di trattamento dei dati personali e richiede, pertanto, un’attenta lettura dei ruoli e dei diversi gradi di coinvolgimento per poterne effettuare un corretto inquadramento, alla luce delle disposizioni del GDPR.

Il titolare e con esso coloro che lo coadiuvano in ambito data protection sono chiamati, in sostanza, ad entrare nel merito delle attività che vengono concretamente svolte e ad individuare conseguentemente a quale titolo, con quale ambito operativo e grado di responsabilità le diverse figure operano e sono coinvolte con riferimento al trattamento dei dati personali.

L’esigenza di un corretto inquadramento è di fondamentale importanza, sia a fini interni, per consentire una chiara suddivisione dei compiti e dei ruoli e per adottare misure organizzative adeguate ad una organica gestione dei rapporti nell’ambito dell’impresa, sia a fini esterni, per ottemperare agli obblighi informativi che il legislatore UE riferisce al titolare e che trovano concreta attuazione nelle informative, che – nel rispetto del principio di trasparenza – devono essere fornite ai soggetti interessati.

L’analisi che segue tiene conto di alcune recenti pronunce della Corte di Giustizia UE, grazie alle quali i giudici UE hanno fornito interessanti spunti interpretativi nel tentativo di applicare le nozioni relative ai soggetti del trattamento (segnatamente, quelle di titolare e di co-titolare) alle diverse correlazioni esistenti tra le figure coinvolte, nonché delle dettagliate indicazioni espresse dall’Autorità Garante relativamente al ruolo del consulente del lavoro ed alla relativa qualificazione dell’attività dallo stesso svolta alla luce del GDPR.

 

2. La qualificazione della contitolarità del trattamento

La figura del “contitolare” trova con il GDPR un esplicito riconoscimento, non presente nella Direttiva 95/46.

Nello specifico, l’articolo 26 contiene la definizione di “contitolari” e la disciplina applicabile sia ai rapporti interni tra i “contitolari” che ai rapporti esterni con i soggetti interessati.

Sicuramente, l’espressa previsione normativa riflette il rilievo attribuito dal legislatore UE alle situazioni in cui più soggetti, anche su piani non del tutto coincidenti, siano compartecipi relativamente alle finalità e ai mezzi del trattamento e tiene conto delle indicazioni interpretative fornite dalla giurisprudenza UE relativamente a casi verificatisi nella vigenza della Direttiva 95/46.

Particolarmente significativa, in proposito, è la decisione della Corte di Giustizia UE, Grande Sezione, resa con la sentenza del 5 giugno 2018 (causa C-210/2016) relativamente al ruolo riconosciuto all’amministratore di una fanpage di Facebook.

In quell’occasione, la controversia verteva sulla possibilità di qualificare l’amministratore della fanpage – nel caso specifico, una società che offriva servizi di formazione – quale soggetto “responsabile del trattamento” (coincidente con l’attuale “titolare del trattamento”, come definito dal GDPR), ai sensi della Direttiva 95/46.

In  sostanza, tale configurazione e conseguente riconoscimento di responsabilità si basava sull’interpretazione estensiva della nozione di “responsabile del trattamento” (di cui all’articolo 2, lettera d) della Direttiva 95/46) che definiva come “responsabile” colui che “da solo o insieme ad altri” determina le finalità e gli strumenti del trattamento: ciò evidentemente al precipuo scopo di garantire agli interessati una tutela effettiva delle relative libertà e  diritti fondamentali e, in particolare, del proprio diritto alla vita privata.

Di particolare interesse, al riguardo, ai fini della qualificazione del ruolo svolto dalla società in qualità di amministratore della fanpage, sono le constatazioni svolte dalla Corte di Giustizia.

Nello specifico, la Corte ha considerato il ruolo attivo svolto dall’amministratore della fanpage nei confronti di Facebook e, in particolare, la possibilità per il primo di disporre di dati statistici – anche se in forma anonima – ottenuti per effetto del posizionamento di cookie da parte di Facebook sui computer o dispositivi dei visitatori della fanpage.

In sintesi, quindi, la possibilità di intervenire nell’impostazione dei parametri da parte dell’amministratore,  in base al proprio pubblico destinatario e ai propri obiettivi di gestione o promozionali e, in particolare, la possibilità di chiedere il trattamento di determinati dati personali (tra i quali, ad esempio, dati demografici concernenti il proprio pubblico destinatario, in particolare dati relativi all’età, sesso, stile di vita e interessi, informazioni sugli acquisti e comportamento d’acquisto dei visitatori oppure dati territoriali per finalizzare le attività promozionali etc.) hanno indotto la Corte UE a concludere che l’amministratore di una fanpage partecipa attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage e conseguentemente a qualificare l’amministratore della fanpage unitamente al gestore del social network quali “responsabili del trattamento” (e, dunque, ai sensi del GDPR, quali contitolari).

Si noti che la conclusione a cui sono giunti i giudici UE, consistente nell’individuare una responsabilità congiunta dei soggetti coinvolti, è ulteriormente giustificata dal fatto che, nel caso in questione, il trattamento di dati personali si estende anche a visitatori privi di un account sul social network: in buona sostanza, tale inquadramento si pone in linea con le indicazioni, già emerse in sede giurisprudenziale, favorevoli ad una interpretazione estensiva della nozione di soggetto “titolare del trattamento”, al precipuo fine di perseguire lo scopo della Direttiva stessa, consistente nel garantire un elevato grado di tutela delle libertà e dei diritti delle persone fisiche.

Di particolare interesse, infine, sono le indicazioni fornite dalla Corte in merito al diverso grado di coinvolgimento e di responsabilità dei soggetti “contitolari”. Al riguardo, i giudici UE hanno evidenziato, infatti, che “l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori” riconoscendo che gli stessi “possono essere coinvolti in fasi diverse del trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti”.

Tali rilievi sono stati richiamati anche in una successiva pronuncia della Corte di Giustizia UE (sentenza della Corte, Grande Sezione, 10 luglio 2018, causa C-25/17), in un caso che ha riguardato la comunità dei testimoni di Geova e i membri della stessa, coinvolti nel trattamento di dati personali, effettuato in ragione della attività di predicazione “porta a porta” dagli stessi svolta.

Va evidenziato che le affermazioni dei giudici UE si pongono in linea con le osservazioni originariamente svolte dal Gruppo di lavoro ex art. 29 con il Parere 1/2010 sui concetti di “responsabile del trattamento” e di “incaricato del trattamento” (oggi, rispettivamente corrispondenti – alla luce del GDPR – ai concetti di “titolare” e di “responsabile” del trattamento).

Nell’ambito del proprio parere, il Gruppo di lavoro aveva puntualizzato alcuni elementi inerenti al diverso grado di coinvolgimento e partecipazione dei soggetti nell’ambito di rapporti di contitolarità: il Gruppo di lavoro aveva, infatti, precisato che “nel contesto della corresponsabilità, la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”, riconoscendo che nei rapporti in questione i soggetti “possono avere una relazione molto stretta (condividendo ad esempio tutte le finalità e tutti gli strumenti di un trattamento) o più distante  (condividendo ad esempio solo le finalità o i mezzi o una parte di essi”).

Quanto sopra fa comprendere come nella realtà operativa si registrino tra i soggetti interrelazioni non sempre precisamente coincidenti con le indicazioni del legislatore UE: ciò evidenzia, pertanto, le difficoltà interpretative a cui è esposto il titolare nel difficile compito di valutare ruoli e responsabilità alla luce delle circostanze di volta in volta rilevanti.

Ne è una riprova anche il recente provvedimento dell’Autorità Garante che ha coinvolto la società Uber (Provvedimento n. 498 del 13 dicembre 2018). In questo caso, l’Autorità è intervenuta operando una riqualificazione dei ruoli e configurando il rapporto esistente tra le società del gruppo in termini di contitolarità (discostandosi, pertanto, dall’assetto originariamente stabilito).

In sintesi, l’Autorità Garante, ai fini del riconoscimento della contitolarità, ha attribuito rilievo ad alcuni elementi, tra i quali, in particolare:

- l’esistenza di un unico data base centralizzato accessibile indistintamente, senza limitazioni interne per aree geografiche di origine dei dati personali;- l’utilizzo di medesime policy e misure di sicurezza infragruppo nonché della medesima informativa, valevole per tutti gli utenti (anche residenti al di fuori degli Stati Uniti).

Gli elementi emersi nel corso dello svolgimento delle attività ispettive hanno, pertanto, indotto l’Autorità Garante a ritenere sussistente una partecipazione congiunta nella definizione delle finalità e delle modalità del trattamento e conseguentemente a riqualificare i rapporti in termini di contitolarità, con inevitabili ripercussioni sulla correttezza delle informazioni riportate nell’informativa (in cui erano invece stati indicati due differenti titolari, a seconda dell’area geografica di provenienza degli utenti).

I provvedimenti che precedono, rispettivamente della Corte di Giustizia e dell’Autorità Garante, esprimono alcune indicazioni e criteri interpretativi e certamente costituiscono un utile ausilio ai fini del riconoscimento della contitolarità; va, peraltro, rilevato che tali provvedimenti non risolvono completamente le problematiche di allocazione dei ruoli e, in particolare, non forniscono esaurienti specificazioni in ordine al livello di determinazione congiunta delle finalità e/o dei mezzi, lasciando margini di incertezza in ordine ad un corretto inquadramento delle figure coinvolte.

 

3. Responsabili o titolari?

Anche con riferimento alla figura del “responsabile” del trattamento, il GDPR si pone in linea di continuità con la Direttiva 95/46, definendolo come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

In sintesi, si possono individuare quali elementi costituitivi del ruolo di responsabile il fatto che il soggetto incaricato effettui il trattamento di dati personali, nonché che tale trattamento sia effettuato per conto del titolare e in conformità alle istruzioni ricevute da quest’ultimo.

Anche con riferimento al “responsabile”, tuttavia, nella pratica non vi è sempre la certezza di un corretto inquadramento, tant’è che lo stesso articolo 28 del GDPR al comma 10 espressamente riconosce che “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”. Ciò sta ad indicare che l’elemento a cui porre attenzione, ai fini della corretta attribuzione del ruolo privacy (quale responsabile o titolare) è il grado di autonomia del soggetto.

Nella prassi, è, dunque, importante valutare se, sulla base delle specifiche circostanze, possa esservi  – o meno - un’autonoma determinazione da parte del soggetto delle finalità e/o dei mezzi del trattamento,  prestando, in particolare,  attenzione al grado di autonomia nella scelta di questi ultimi, da intendersi  – come rilevato dal Gruppo di Lavoro ex art. 29 nel parere n. 1/2010 – in maniera ampia, comprendendo tale espressione non solo i mezzi di natura tecnica ma anche il ““come” del trattamento, cioè ”quali dati saranno trattati”, ”quali terzi avranno accesso ai dati”, “quando tali dati saranno eliminati” etc.”..

Estremamente significativa, a questo riguardo, è la questione recentemente sollevata dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro relativamente all’inquadramento della figura del Consulente del Lavoro alla luce della disciplina relativa alla protezione dei dati personali.

Il Consiglio Nazionale, proprio sulla base della rilevata autonomia decisionale del Consulente del Lavoro nella scelta delle modalità e dei mezzi (anche tecnologici) ritenuti più opportuni, compresa la scelta dei collaboratori a cui affidare il trattamento, era giunto alla conclusione che il Consulente del Lavoro nella attività di trattamento dei dati dei propri clienti e dei dipendenti di questi ultimi dovesse essere qualificato quale “titolare del trattamento o, al più, quale “contitolare”, congiuntamente al proprio mandante.   

In risposta a tale quesito, l’Autorità Garante ha ritenuto di operare una diversa lettura del ruolo privacy del Consulente del Lavoro, distinguendo i due differenti segmenti di attività che vedono coinvolto il Consulente del Lavoro, quando tratta, da un lato, i dati dei propri dipendenti o dei propri clienti, e, dall’altro, i dati dei dipendenti dei propri clienti.

Per l’Autorità Garante:

- nel primo caso, il Consulente ricopre il ruolo di “titolare del trattamento” agendo “in piena autonomia e indipendenza, determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività”;

- mentre, nel secondo caso, opera quale “responsabile del trattamento”, agendo quale soggetto qualificato allo svolgimento delle attività delegate dal datore di lavoro (titolare), che, “alla luce del contesto in cui avviene il trattamento, assume le decisioni relative a finalità e modalità di trattamento, delimitando le rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare”. 

La ricostruzione operata dall’Autorità Garante ha, pertanto, portato quest’ultima ad escludere anche la qualificazione del rapporto tra cliente e consulente del lavoro in termini di contitolarità.

In linea con le conclusioni raggiunte dall’Autorità Garante, si pongono altri precedenti provvedimenti con cui la stessa Autorità aveva ritenuto che il ruolo di responsabile ricorresse in alcuni casi specifici, tra cui, ad esempio:

- la società capogruppo incaricata dalle proprie società controllate e collegate di svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori (Linee Guida per il trattamento di dati dei dipendenti privati, Provvedimento 23 novembre 2006);

- i fornitori di servizi di posta elettronica (Provvedimento 22 dicembre 2016, n. 547);  

- i fornitori di servizi di localizzazione geografica (Provvedimento 19 luglio 2018, n. 427) e di televigilanza (Provvedimento 4 dicembre 2014, n. 559).

Sulla scorta delle indicazioni interpretative dell’Autorità Garante, si può analogamente ritenere quale responsabile del trattamento anche il fornitore di servizi di web hosting, effettuando trattamenti di dati per conto del gestore del sito, nonché il fornitore di servizi IT, sia quando presta servizi di assistenza e manutenzione sia in modalità on premise, sia in modalità saas, quando nello svolgimento delle proprie attività effettuano operazioni di trattamento di dati per conto del titolare, in mancanza di autonomi poteri decisionali.

Diversamente da quanto sopra, invece, nei casi in cui un “tecnico” in ambito IT effettui operazioni di assistenza e manutenzione, senza che lo svolgimento delle stesse comporti operazioni di trattamento di dati personali, ma unicamente l’eventuale “accesso” agli stessi, è possibile valutare l’applicazione di quanto previsto dall’articolo 29 del GDPR, evitando conseguentemente la qualificazione per tali figure del ruolo di responsabile del trattamento oltre che i relativi oneri.

Come si vede, l’interprete è chiamato ad operare sempre un’attenta valutazione di tutte le circostanze e di tutti gli elementi che concorrono a caratterizzare le attività svolte, la relativa ampiezza e grado di autonomia, al fine di addivenire ad una chiara individuazione dei ruoli e delle responsabilità: si tratta, come è possibile notare, di un compito alquanto delicato e non sempre agevole, ma che certamente è atteso dal legislatore UE e che  risponde alla riconosciuta centralità del principio dell’accountability.

Letture consigliate

L. Bolognini - E. Pelino - C. Bistolfi, Il Regolamento Privacy Europeo, Giuffrè, 2016 (in particolare, quanto agli aspetti relativi ai soggetti attivi del trattamento, si rinvia alle pagine 120 e ss.);

Gruppo di Lavoro Articolo 29, Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 10 febbraio 2010;

Corte di Giustizia UE, Grande Sezione, sentenza 5 giugno 2018, causa C-210/16;

Corte di Giustizia UE, Grande Sezione, sentenza 10 luglio 2018, causa C-25/17;

Autorità Garante per la Protezione dei Dati Personali, Trattamento illecito di dati personali – Provvedimento 13 dicembre 2018, n. 498, doc web. n. 9069046);

Autorità Garante per la Protezione dei Dati Personali, indicazioni in risposta al quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 – 22 gennaio 2019;

Autorità Garante per la Protezione dei Dati Personali, Linee Guida per il trattamento di dati dei dipendenti privati, Provvedimento 23 novembre 2006, doc web n. 1364099;

Autorità Garante per la Protezione dei Dati Personali, provvedimento 22 dicembre 2016, n. 547, doc web n. 5958296;

Autorità Garante per la Protezione dei Dati Personali, Provvedimento 19 luglio 2018, n. 427 doc web n. 9039945;

Autorità Garante per la Protezione dei Dati Personali, Provvedimento 4 dicembre 2014, n. 559, doc web n. 3671057.

Articoli più letti su questo argomento

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Diritto /

La riservatezza su Whatsapp

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Newsletter Abbonamenti