I soggetti coinvolti nel trattamento dei dati alla luce delle Linee Guida EDPS del 7 novembre 2019 e alla luce del Provvedimento del Garante del 28 ottobre 2019 doc. web n. 9169688

  Home/News/I soggetti coinvolti nel trattamento dei dati alla luce delle Linee Guida EDPS del 7 novembre 2019 e alla luce del Provvedimento del Garante del 28 ottobre 2019 doc. web n. 9169688
I soggetti coinvolti nel trattamento dei dati alla luce delle Linee Guida EDPS del 7 novembre 2019 e alla luce del Provvedimento del Garante del 28 ottobre 2019 doc. web n. 9169688

I soggetti coinvolti nel trattamento dei dati alla luce delle Linee Guida EDPS del 7 novembre 2019 e alla luce del Provvedimento del Garante del 28 ottobre 2019 doc. web n. 9169688

In data 7 novembre 2019 sono state pubblicate le Linee Guida dell’European Data Protection Supervisor (EDPS), emesse in soccorso alle istituzioni ed agli organi dell’Unione Europea ma valevoli in generale, a mezzo delle quali sono stati meglio precisati i concetti di Titolare, Responsabile e Contitolare del trattamento dei dati personali

In data 28 ottobre 2019, invece, il Garante Italiano ha escluso dal novero dei Responsabili del trattamento le Compagnie Assicurative sulla base di un principio che, per analogia, può essere applicato anche ad altre categorie di soggetti.

Qui di seguito vengono riassunti i tratti salienti dei due documenti al fine di orientare gli operatori nel corretto inquadramento dei vari soggetti coinvolti nel trattamento di dati personali.

Titolare del trattamento:

Le Linee Guida precisano, anzitutto, il fatto che il ruolo di Titolare può essere stabilito direttamente ed espressamente dalla legge, ma che può anche esservi ivi desunto implicitamente o, ancora, che può derivare da semplici circostanze di fatto.

In ogni caso, secondo l’EDPS, il Titolare del trattamento è, anzitutto, il soggetto che determina il perché del trattamento, l’inizio del trattamento, nonché è il soggetto che trae beneficio dal trattamento stesso e, soprattutto, di norma, è il soggetto che determina gli elementi essenziali del trattamento, ovverosia: a) il tipo di dati da trattare; b) il periodo di conservazione dei dati; c) i soggetti deputati alla raccolta dei dati; d) i soggetti autorizzati all’accesso ai dati; e) i destinatari dei dati.

Da un punto di vista maggiormente operativo, inoltre, le Linee Guida precisano, da un lato, che non è necessario che il Titolare abbia accesso ai dati trattati essendo sufficiente il fatto che possa esercitare sugli stessi un’influenza dominante (quale il potere di iniziare e di terminare il trattamento dei dati) e, dall’altro lato, che può essere considerato Titolare del trattamento anche un soggetto in grado di ricevere statistiche anonime basate sul trattamento dei dati medesimi.

Non sarebbero, invece, da considerarsi elementi essenziali del trattamento l’hardware, il software o le misure di sicurezza tecniche impiegate per il trattamento, che, pertanto, ben potrebbero essere stabiliti dal Responsabile.

Contitolari del trattamento:

In base all’art.26 GDPR, l’elemento caratterizzante una situazione di contitolarità consiste nel fatto di determinare congiuntamente le finalità ed i mezzi del trattamento.

Le Linee Guida dell’EDPS avvertono l’operatore che una situazione di contitolarità può essere ravvisabile nei confronti di ogni situazione in cui ogni Titolare abbia la possibilità o il diritto di determinare le finalità e gli elementi essenziali di un operazione di trattamento e, cioè, nei confronti di ogni situazione in cui ogni Titolare è consapevole dello scopo generale e dei mezzi (o almeno degli elementi essenziali) del trattamento dei dati in dipendenza del sol fatto della convergenza in ordine a finalità e mezzi organizzati nel quadro di un accordo scritto in relazione ad un’operazione di trattamento di dati personali.

Tuttavia, precisa l’EDPS, a volte può essere difficile distinguere una situazione di contitolarità da una situazione nella quale, invece, due o più titolari agiscano separatamente. Al riguardo, risulta pertanto fondamentale verificare se le parti coinvolte determinino congiuntamente, o quanto meno convergano, sullo stesso obiettivo generale o sulle stesse finalità o se, per lo meno, effettuino le proprie operazioni di trattamento servendosi di mezzi definiti congiuntamente (o rispetto ai quali abbiano definito congiuntamente gli elementi essenziali) dovendosi optare, in caso di responso negativo, per una diversa situazione di titolarità autonoma.

Una volta appurata la situazione di contitolarità, le Linee guida prevedono che per garantire una chiara distribuzione dei compiti tra i contitolari, è possibile utilizzare, in aggiunta e ad integrazione al Protocollo d'Intesa (MoU), un Accordo sul Livello di Servizio (SLA) contenente le specifiche tecniche.

Ancora, precisano ulteriormente le Linee Guida, nella testata del registro dei trattamenti andrebbe inserito un riferimento alla contitolarità e l’accordo dovrebbe essere organizzato secondo le risultanze specifiche delle operazioni di trattamento contemplate dal registro stesso.

In sostanza, le Linee Guida richiedono una chiara e precisa allocazione dei ruoli e delle responsabilità tra i Contitolari, soprattutto con riferimento – anche qui così come nel contratto ex art. 28 GDPR – al riscontro delle istanze dei soggetti interessati.

In particolare, tra gli elementi da indicare nell’accordo dovrebbero essere disciplinate chiaramente:

-             La natura delle operazioni di trattamento rilevanti;

-             Le finalità del trattamento;

-             La durata del trattamento;

-             Le categorie di dati trattati e le categorie di soggetti interessati dal trattamento;

-             I rispettivi ruoli nel trattamento;

-             Le rispettive responsabilità e relazioni nel trattamento, compresa la distribuzione dei compiti relativi agli obblighi di informativa;

-             Il punto di contatto a cui i soggetti interessati possono rivolgere le proprie istanze (almeno per i casi di contitolarità domestica, è raccomandabile definire un unico punto di contatto).

Responsabile del trattamento:

L’esistenza di un Responsabile del trattamento dipende dalla decisione di un Titolare del trattamento, il quale potrebbe avere interesse a delegare all’esterno alcune specifiche operazioni di trattamento o alcune loro parti.

In sostanza, mentre il Titolare è colui che determina le finalità e gli elementi essenziali del trattamento, il Responsabile del trattamento si contraddistingue per un ruolo implementativo.

Tuttavia, precisano le Linee Guida, il fatto di agire per conto del Titolare non implica per forza una deminutio dell’autonomia del Responsabile e, pertanto, è importante considerare che il Responsabile del trattamento non si trova necessariamente in posizione di subalternanza e che, anzi, per quanto detto sopra, ben potrebbe determinare da sé anche gli elementi non essenziali dei mezzi di trattamento impiegati quali hardware, software e le misure di sicurezza tecniche.

Il grado di autonomia del Responsabile dipende dalle scelte operative del Titolare e non è affatto necessario che il Titolare imponga al Responsabile l’intero impianto delle modalità delle operazioni di trattamento.

Per agevolare gli operatori, l’EDPS mette a disposizione la check list sotto riportata a mezzo della quale, in base al grado di maggioranza di risposte “SI”, è possibile identificare con sufficiente grado di sicurezza un Responsabile del trattamento.

Un soggetto è un Responsabile del trattamento se

SI

NO

Segue le istruzioni di un altro soggetto con riferimento al trattamento di dati personali

    

Non decide di raccogliere dati personali dagli interessati

    

Non decide le basi giuridiche della raccolta e dell’utilizzo dei dati

    

Non decide le finalità per le quali i dati vengono utilizzati

    

Non decide il periodo di conservazione

    

Prende alcune decisioni circa le modalità di trattamento ma implementa tali decisioni nel quadro di un contratto o altro atto giuridico vincolante con il Titolare

    

Non è interessato al risultato del trattamento

    

Non decide se e a chi trasmettere i dati

    

Le Linee Guida, inoltre, raccomandano ai Titolari, pena la loro personale responsabilità, di osservare le seguenti prescrizioni circa la scelta dei soggetti da incaricare quali Responsabili:

  • Incaricare soltanto i Responsabili che presentino adeguate garanzie di implementazione di misure appropriate e tecniche affinché il trattamento dei dati possa avvenire in conformità alle disposizioni del GDPR e i diritti dei soggetti interessati vengano rispettati;
  • Assicurarsi che il Responsabile non subappalti le operazioni al medesimo affidate in assenza di una preventiva autorizzazione scritta da parte del Titolare;
  • Assicurarsi che il Responsabile tenga informato il Titolare di ogni cambiamento, in modo che il Titolare possa opporvisi;
  • Siglare un contratto scritto oppure un diverso atto giuridico vincolante con il Responsabile nel quale riportare specifiche clausole in materia di protezione dei dati personali;
  • Assicurarsi che le obbligazioni contrattuali previste a carico del Responsabile vengano trasferite a carico degli eventuali Sub Responsabili autorizzati;
  • Nel caso in cui il Responsabile sia soggetto al GDPR, assicurarsi della compliance di quest’ultimo alle norme del regolamento per dimostrare sufficienti garanzie in materia di protezione dei dati personali.

Infine, le Linee Guida precisano che, salvo il caso di puntuale predeterminazione delle rispettive responsabilità tra il Titolare ed il Responsabile, il contratto deve descrivere dettagliatamente la ripartizione dei compiti in tema di trattamento dei dati personali e deve anche prevedere le modalità di riscontro delle istanze degli interessati in modo da assicurare concretamente l’esercizio dei loro diritti.

Inoltre, come anticipato in testata del presente articolo, in data 28 ottobre 2019 il Garante ha emesso il Provvedimento doc. web n. 9169688, in base al quale le Compagnie Assicurative sono da considerarsi Titolari Autonome del trattamento e non Responsabili del trattamento di dati personali in considerazione della specifica disciplina di settore a cui le stesse sono assoggettate (artt.1882 e ss. c.c., D.lgs. n.209/2005 – Codice delle Assicurazioni; Regolamento IVASS n.40/2018).

Rileva il Garante, al riguardo, il fatto che a fronte della suddetta disciplina di settore, non è possibile inquadrare le Compagnie Assicurative quali soggetti che trattano dati personali per conto del Titolare del trattamento in quanto l’attività assicurativa è propria delle Compagnie e non può essere delegata.

A parere di chi scrive, tale principio è applicabile, per analogia, anche ad altre categorie di soggetti e, pertanto, allo stato interpretativo attuale appare ragionevole:

-             escludere dal novero dei Responsabili del trattamento tutti i soggetti svolgenti attività disciplinate da apposita normativa di settore ed in quanto tali non delegabili (medico del lavoro, laboratori analisi, componenti OdV, revisori dei conti, sindaci, etc.);

-             risolvere l’attuale disputa della situazione soggettiva in capo agli avvocati (Titolari Autonomi o Responsabili) nel senso di prendere le mosse dalla natura dell’incarico conferito (se, cioè, soggetto a specifica normativa e, dunque, non delegabile (ad es.: cause giudiziarie) oppure no quale, per esempio incarichi di supporto in consulenza che, teori