Le Linee Guida 07/2020 sui concetti di titolare del trattamento e responsabile del trattamento nel GDPR
Il 2 settembre 2020, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato, in versione sottoposta a pubblica consultazione fino al 19 ottobre, il testo delle Linee Guida sui concetti di titolare, responsabile e contitolare del trattamento. (Guidelines 07/2020 on the concepts of controller and processor in the GDPR).
Il documento, tramite un taglio pratico ed esemplificatorio, si propone di dare concretezza alle definizioni del GDRP, al fine di offrire un utile supporto per riconoscere le distinzioni tra queste 3 figure, permettendo così agli operatori interessati dalla materia di chiarire possibili incertezze sulla loro qualificazione soggettiva e, di conseguenza, sulle rispettive funzioni ed i rispettivi obblighi, nonché le (possibili) rispettive sanzioni. Obiettivo delle Linee è dunque principalmente quello di far luce sui dubbi che possono crearsi in caso di esternalizzazione dei servizi e di trasferimenti di informazioni (cd. outsourcing), ovverosia ove il trattamento coinvolga più soggetti.
Cosa definisce un titolare del trattamento rispetto ad un responsabile dello stesso in caso di outsourcing?
Il Board sottolinea sin da subito (punto 12) come i concetti di titolare e responsabile del trattamento abbiano entrambi naturale funzionale, dovendosi trattare la materia in maniera pragmatica e con un approccio fattuale, senza ancorarsi a designazioni formali.
Chiarito ciò, l’Autorità comincia scrivendo che, in primo luogo, si considera titolare del trattamento sia colui che viene esplicitamente designato dall'ordinamento come tale (competenza legale esplicita) che colui che compie il trattamento in quanto necessario all'esercizio delle funzioni/attività che la legge gli attribuisce (competenza legale esplicita). Rientrano in quest’ultima ipotesi, ad esempio, gli studi legali, dovendo necessariamente trattare, con un alto grado di indipendenza, i dati personali dell’assistito per poter adempiere al loro ruolo funzionale (punto 25).
Ove il primo step non sia sufficiente a chiarire il dubbio, la valutazione della qualifica soggettiva ai fini privacy dovrà effettuarsi guardando al potere di determinare il perché (finalità) ed il come (mezzi) del trattamento. Se tali decisioni competono in autonomia al soggetto considerato, allora egli dovrà catalogarsi come titolare del trattamento (o contitolare). Si pensi alle agenzie di viaggio (punto 66) o alle banche (punto 38) che effettuino operazioni (ad es. offerta di pacchetti viaggio o accredito stipendi) trattando autonomamente i dati ricevuti (ad es. dal consumatore o dal datore di lavoro).
In caso contrario, se il trattamento venga cioè effettuato solamente in conformità con le istruzioni impartite da altri, senza alcuna ingerenza nella definizione delle finalità di esso, si sarà in presenza di un “semplice” responsabile del trattamento, quand'anche, lo si noti, egli mantenga un certo margine di discrezionalità nella scelta di mezzi tecnici ed organizzativi nell'esecuzione del trattamento. È il caso dei servizi di hosting (punto 38) o clouding (punto 82) che, su istruzioni impartite dal titolare del trattamento, si limitino ad archiviare i dati raccolti sui propri server, determinando solo le misure tecniche per far ciò. Il responsabile potrà essere considerato un titolare, in relazione ad uno specifico trattamento, solo quando andrà oltre le istruzioni impartite dal titolare stesso, determinando così autonomamente le finalità del trattamento.
Meno problematico, almeno in apparenza, il rapporto di contitolarità, che si instaura ogniqualvolta ai fini del trattamento si renda necessaria una decisione comune (o distinte decisioni convergenti e complementari) di due o più parti. Emblematica è la costruzione di un database comune da parte di due società di marketing (punto 66), a condizione che decidano insieme finalità e mezzi del trattamento. In caso contrario, ove esse si limitassero ad utilizzare un’unica piattaforma di raccolta costruita in modo tale che ogni titolare determini finalità e mezzi solo dei dati relativi ai propri clienti (ad es. accesso separato), si sarebbe in presenza di due distinti titolari, non legati da rapporto di contitolarità (punto 69).
Concludendo, si rileva utile il diagramma di flusso contenuto nelle ultime 3 pagine del documento, offrendo schematicamente la mappa dei passaggi logici da seguire per risolvere i dubbi sulla qualificazione soggettiva privacy di uno (o più) soggetti.
Le Linee Guida 07/2020 sono disponibili in lingua inglese al seguente link.
