Titolare o responsabile questo è il dilemma … in aiuto le Linee Guida e soprattutto la flowchart tradotta in italiano
Il 2 settembre 2020, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato, in versione sottoposta a pubblica consultazione fino al 19 Ottobre, il testo delle Linee Guida sui concetti di titolare, responsabile e contitolare del trattamento (Guidelines 07/2020 on the concepts of controller and processor in the GDPR).
Con taglio pratico ed esemplificatorio, le Linee Guida si propongono di dare concretezza alle definizioni del GDRP, al fine di offrire un utile supporto per riconoscere le distinzioni tra queste tre figure, permettendo così agli operatori interessati dalla materia di chiarire possibili dubbi sulla loro qualificazione soggettiva e, di conseguenza, sulle rispettive funzioni ed i rispettivi obblighi, nonché le (possibili) rispettive sanzioni.
Obiettivo delle Linee è dunque principalmente quello di far luce sui dubbi che possono crearsi in caso di esternalizzazione dei servizi e di trasferimenti di informazioni (cd. outsourcing), quando cioè il trattamento coinvolga più soggetti.
Cosa definisce un titolare del trattamento rispetto ad un responsabile in caso di outsourcing? I concetti di titolare e responsabile del trattamento hanno natura funzionale, dovendosi trattare la materia in maniera pragmatica e con un approccio fattuale, senza ancorarsi a designazioni formali (punto 12).
Chiarito ciò, l’EDPB comincia scrivendo che, in primo luogo, si considera titolare del trattamento sia colui che viene esplicitamente designato dall’ordinamento come tale (competenza legale esplicita) che colui che compie il trattamento in quanto necessario all’esercizio delle funzioni/attività che la legge gli attribuisce (competenza legale esplicita). Rientrano in quest’ultima ipotesi, ad esempio, gli studi legali, dovendo necessariamente trattare, con un alto grado di indipendenza, i dati personali dell’assistito per poter adempiere al loro ruolo funzionale (punto 25).
Qualora il primo step non sia sufficiente a chiarire il dubbio, la valutazione della qualifica soggettiva ai fini privacy dovrà effettuarsi guardando al potere di determinare il perché (finalità) ed il come (mezzi) del trattamento. Se tali decisioni competono in autonomia al soggetto considerato, allora egli dovrà catalogarsi come titolare del trattamento (o contitolare). Si pensi alle agenzie di viaggio (punto 66) o alle banche (punto 38) che effettuino operazioni (ad es. offerta di pacchetti viaggio o accredito stipendi) trattando autonomamente i dati ricevuti (ad es. dal consumatore o dal datore di lavoro).
In caso contrario, se il trattamento venga cioè effettuato solamente in conformità con le istruzioni impartite da altri, senza alcuna ingerenza nella definizione delle finalità di esso, si sarà in presenza di un “semplice” responsabile del trattamento, quand’anche, lo si noti, egli mantenga un certo margine di discrezionalità nella scelta di mezzi tecnici ed organizzativi nell’esecuzione del trattamento. È il caso dei servizi di hosting (punto 38) o clouding (punto 82) che, su istruzioni impartite dal titolare del trattamento, si limiti ad archiviare i dati raccolti sui propri server, determinando solo le misure tecniche per far ciò. Ancora, si pensi ai call center esterni che compiono servizi di assistenza accedendo ai database della società incaricante (punto 81).
Sarà invece da considerarsi un semplice “terzo” chiunque, nell’esercizio della sua attività, si imbatte solo occasionalmente in dati personali altrui, non richiedendo lo svolgimento del proprio compito alcun trattamento di dati. Si pensi ad una società incaricata del servizio di pulizia (punto 87), la cui attività, per quanto possa materialmente interfacciarsi con i dati personali che “abitano” gli spazi oggetto di pulizia, non comporta un necessario trattamento di dati.
Il responsabile potrà essere considerato un titolare, in relazione ad uno specifico trattamento, solo quando andrà oltre le istruzioni impartite dal titolare stesso, determinando così autonomamente le finalità del trattamento.
Meno problematico, almeno in apparenza, il rapporto di contitolarità, che si instaura ogniqualvolta ai fini del trattamento si renda necessaria una decisione comune (o distinte decisioni convergenti e complementari) di due o più parti. Emblematico è il caso di costruzione di un database comune da parte di due società di marketing (punto 66), a condizione che decidano insieme finalità e mezzi del trattamento. Qualora invece esse si limitassero a utilizzare un’unica piattaforma di raccolta costruita in modo tale che ogni titolare determini finalità e mezzi solo dei dati relativi ai propri clienti (ad es. accesso separato), si sarebbe in presenza di due distinti titolari, non legati da rapporto di contitolarità (punto 69).
Concludendo, si rileva utile il diagramma di flusso contenuto nelle ultime pagine del documento, offrendo schematicamente la mappa dei passaggi logici da seguire per risolvere i dubbi sulla qualificazione soggettiva privacy di uno (o più) soggetti.
Le Linee Guida 07/2020 sono disponibili qui.