Una delle principali novità introdotte nel nostro panorama giuridico dal Regolamento europeo in materia di protezione dei dati personali 2016/679 (di seguito “GDPR”) riguarda la figura dei joint controllers: i contitolari del trattamento che, come previsto dall’art. 26 del Regolamento UE, determinano in maniera “congiunta” le finalità del trattamento e i mezzi del trattamento stesso.
All’articolo 4 del GDPR il legislatore ha definito il titolare del trattamento, che è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.
Il legislatore non si è limitato a prevedere la possibilità che il titolare avrebbe potuto definire le finalità e i mezzi “singolarmente” o “insieme ad altri”; si è spinto oltre, guardando anche al futuro delle nuove tecnologie, prevedendo anche la possibilità che due o più titolari del trattamento possano definire in maniera “congiunta” le finalità e i mezzi del trattamento.
Chi scrive ha una propria visione e definizione di contitolarità: due o più titolari del trattamento, decidono di comune accordo lo scopo del trattamento, che è il medesimo, e i mezzi del trattamento dei dati personali, che sono anch’essi i medesimi.
Indice degli argomenti
Joint controllers: trasparenza negli accordi
Il legislatore mette la trasparenza al centro del rapporto dei joint controllers, sia con riguardo all’accordo interno di contitolarità, sia nei confronti degli interessati.
Al fine di approfondire nel dettaglio cosa intende il legislatore per trasparenza, bisogna far riferimento agli artt. 5 e 12 e ss. del GDPR, ed in particolare far riferimento alla raccolta dei dati personali ovvero il momento in cui i dati sono ottenuti dall’interessato, ancor prima dei principi applicabili al trattamento dei dati personali.
Secondo il legislatore non si può essere trasparenti nei confronti degli interessati se le parti non sono trasparenti tra di loro nell’accordo interno di contitolarità. A tal fine, nel par 1 dell’articolo 26 del GDPR il legislatore richiede alle parti di determinare “in modo trasparente” un accordo interno, dove definire le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR.
Joint controllers: i ruoli delle parti
Molto importante per le parti definire in maniera precisa il trattamento oggetto di contitolarità, differenziandolo da eventuali trattamenti presenti (ad esempio in un’iniziativa o in un progetto) che non siano oggetto di contitolarità.
Non si possono determinare le rispettive responsabilità, se prima non vengono individuati in maniera chiara i ruoli delle parti.
Errore comune è pensare che una “iniziativa congiunta” o un “progetto comune” possa determinare la contitolarità del trattamento, senza le opportune valutazioni giuridiche ed in particolare senza valutare se per quell’iniziativa congiunta o progetto comune le finalità e i mezzi del trattamento dei dati personali siano determinati in maniera autonoma o “congiunta”.
Oppure se solo per una parte delle attività le finalità del trattamento siano determinate congiuntamente, mentre per le altre potrebbero benissimo applicarsi la titolarità autonoma o un rapporto titolare/responsabile di cui all’articolo 28 del GDPR.
Responsabilizzazione dei joint controllers
Il legislatore nel par 1 dell’articolo 26 esige una chiara ripartizione delle responsabilità in merito all’osservanza degli obblighi del GDPR.
A parere dello scrivente nel par 1 dell’articolo 26 del GDPR il legislatore rimanda le parti all’articolo 24 del GDPR, all’accountability dei contitolari. Le parti saranno in grado di dimostrare la loro responsabilizzazione solo se nell’accordo sono stati definiti in maniera chiara i ruoli e le responsabilità, anche con riferimento alle misure tecniche e organizzative.
L’accordo interno di contitolarità
Nell’accordo interno di contitolarità le parti dovranno definire le rispettive responsabilità in merito agli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti degli interessati e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.
Il legislatore non ci elenca gli obblighi che i contitolari devono inserire nell’accordo interno, ma lascia un indirizzo rimandando agli obblighi previsti dal GDPR.
Cosa dovrà prevedere, quindi, a parere dello scrivente l’accordo di Contitolarità? Ecco i punti principali:
- identità delle parti e dati di contatto (ragione sociale e dati di contatto dei contitolari);
- oggetto dell’accordo di contitolarità (specificare, ad esempio, se un progetto comune e/o una iniziativa congiunta); se la contitolarità si applica per tutte le attività di trattamento necessarie all’iniziativa o solo per una parte di essa);
- le finalità del trattamento oggetto di contitolarità e le finalità per le quali le parti assumono eventualmente un ruolo diverso (titolare autonomo art. 4 par 7 del GDPR);
- il fondamento giuridico del trattamento oggetto di contitolarità (ad esempio: consenso, legittimo interesse, contratto ecc.);
- le categorie dei dati personali e la tipologia dei dati personali trattati dai contitolari;
- l’impegno delle parti al rispetto dei principi applicabili al trattamento di cui all’articolo 5 (liceità, esattezza, necessità, minimizzazione, sicurezza ecc.);
- la durata del trattamento oggetto di contitolarità;
- obbligo di riservatezza delle parti, anche con riferimento alle persone autorizzate al trattamento da entrambi i contitolari;
- esternalizzazione dei trattamenti oggetto di contitolarità (previsione di informazione reciproca in caso di designazione di un responsabile e approvazione dell’altro contitolare oppure previsione responsabilità);
- periodo di conservazione dei dati personali oggetto di contitolarità;
- paragrafo sulla sicurezza, con misure tecniche e organizzative oggetto di contitolarità;
- perdita e/o violazione dei dati personali (data breach) e notifica, con la previsione di un timing (i contitolari hanno 72 ore);
- accountability;
- responsabilità dei contitolari.
Diritti degli interessati e designazione di un punto di contatto
Il legislatore ha previsto che le parti devono prevedere le rispettive responsabilità con riguardo all’esercizio dei diritti degli interessati.
In particolare, i contitolari dovranno prevedere comunicazioni e modalità trasparenti per l’esercizio dei diritti degli interessati e agevolare l’esercizio di tali diritti.
Le parti dovranno prevedere nell’accordo e nelle informazioni fornite all’interessato i rispettivi ruoli e i loro rapporti con gli interessati.
Il legislatore, a parere dello scrivente, avrebbe potuto definire l’accordo come un “accordo trasparente nei confronti dell’interessato” e non “accordo interno”, in quanto quella dicitura potrebbe far pensare alle parti che è più importante una informativa scritta bene, che un accordo “interno” tra le parti.
L’accordo, invece, a parere dello scrivente, deve essere scritto dai contitolari con la consapevolezza che è un accordo trasparente tra le parti e nei confronti degli interessati.
È consigliabile per i contitolari, designare mediante accordo un punto di contatto per gli interessati, anche se non devono mancare l’identità e i dati di contatto di entrambe le parti, in quanto l’interessato ai sensi dell’articolo 26 del GDPR potrà comunque esercitare i propri diritti “nei confronti di e contro ciascun titolare del trattamento”.
Joint controllers: come gestire le informative
Il legislatore al par 1 dell’articolo 26 include gli articoli 12 e ss. del GDPR: i contitolari dovranno innanzitutto “concordare” una informativa che deve essere fornita all’interessato in forma concisa, trasparente, intellegibile e facilmente accessibile. Ma prima di tutto, a parere dello scrivente, deve essere semplice e chiara.
I contitolari dovranno definire nell’accordo le misure appropriate per fornire all’interessato le informazioni di cui agli articoli 13 e ss. del GDPR, verificando che siano presenti tutti gli elementi di cui agli artt. 13 e 14 del GDPR (inutile riportarli al lettore in questa sede).
L’accordo di contitolarità e l’informativa sono un unicum, non possono viaggiare su binari separati.
Registro delle attività di trattamento
Si ritiene molto importante inserire nel registro le attività di trattamento oggetto di contitolarità. Infatti, il legislatore, ha previsto all’articolo 30 del GDPR che “ogni titolare del trattamento tiene il registro delle attività di trattamento svolte sotto la propria responsabilità”.
Molto importante è inserire nel registro il nome e i dati di contatto dell’altro contitolare del trattamento ed è la lett. a) par 1 dell’articolo 30 che prevede l’importanza di avere nel registro tale informazione.
Privacy by design e valutazione di impatto
Le parti che determinano in maniera congiunta le finalità e i mezzi del trattamento e a tal fine decidono di predisporre in maniera trasparente un accordo interno di contitolarità, dovranno fin dalla progettazione, valutare l’impatto privacy e integrare le necessarie tutele di sicurezza e garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
Sarebbe consigliabile per le parti, nel periodo 4.0 dell’uso di nuove tecnologie, fin dalla progettazione, allegare all’accordo di contitolarità una lista di trattamenti da sottoporre a valutazione di impatto sulla protezione dei dati (“DPIA”).
