Risulta sempre complesso inquadrare correttamente le figure di titolare e responsabile del trattamento: sebbene ad una prima lettura le definizioni normative possano sembrare chiare, nei fatti la distinzione tra titolare e responsabile del trattamento non è di facile interpretazione.
Sono numerosi i provvedimenti delle Autorità garanti per la protezione dei dati personali che hanno chiarito alcuni casi concreti; rimangono tuttavia ancora aperti molti interrogativi.
Indice degli argomenti
Titolare e responsabile del trattamento: le linee guida EDPS
Il parere n. 1 del 16 febbraio 2010[1] (di seguito “Parere 1/2010”), concepito dal Gruppo di lavoro ex. art. 29[2] per fornire effettivi orientamenti alle difficoltà applicative di tali concetti, rimane la principale fonte interpretativa.
Ed infatti, nonostante possa risultare “datato” e basato sulla direttiva 95/46/CE oramai abrogata, la sua attualità viene confermata costantemente nelle più recenti linee guida dell’European Data Protection Supervisor, o EDPS, del 7 novembre 2019 (di seguito le “Linee guida”) sui concetti di titolare, responsabile e contitolare ai sensi del Regolamento 2018/1725.
Nonostante le Linee guida siano state adottate in relazione ad una normativa applicabile alle istituzioni europee, distinta rispetto al Regolamento UE n. 2016/679 (di seguito “GDPR”), di fatto forniscono spunti interessanti a tutte le organizzazioni nella guida all’interpretazione di questi concetti fondamentali[3].
Sappiamo, come ben noto agli addetti lavori, che non esiste una soluzione univoca per identificare titolare e responsabile. Occorre pertanto, caso per caso e in funzione degli elementi fattuali, esaminare gli specifici trattamenti in questione e capire chi li determina. Lo stesso considerando 79 del GDPR sancisce che la responsabilità generale dei titolari esige una chiara ripartizione dei ruoli e delle responsabilità dei diversi soggetti che intervengono in un trattamento.
Il titolare del trattamento
Innanzitutto, quando un’entità è da considerarsi titolare? La definizione fornita dal GDPR stabilisce che il titolare è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Le Linee guida, in linea con il Parere 1/2010, forniscono e riprendono alcune indicazioni, correlate anche da numerosi esempi, per poter facilitare l’interpretazione di tale ruolo. Innanzitutto, rileva l’elemento soggettivo della definizione: vi è dunque una moltitudine di soggetti che possono ricoprire il ruolo di titolare. Per identificare se un soggetto ricopra tale ruolo, è possibile che sia la legge a imporre ad un soggetto obblighi di trattare determinati dati, oppure, più frequentemente, è necessario dedurlo dalla valutazione della situazione di fatto.
In relazione all’elemento oggettivo occorre tenere in considerazione l’indipendenza nella determinazione di finalità e mezzi del trattamento. Si illustrano di seguito gli elementi essenziali della definizione:
- la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo: di fatto il ruolo di titolare può essere ricoperto da una vasta gamma di soggetti, da considerarsi in funzione di una efficace applicazione della normativa.
Nel caso della persona giuridica, in particolare, il titolare è da individuare nell’organizzazione stessa, e non nella persona del suo rappresentante legale. Nell’ambito delle aziende, infatti, un errore comune è quello di pensare che il titolare debba essere per forza identificato in una persona fisica: questo non è vero.
Già l’Autorità Garante per la protezione dei dati personali (di seguito il “Garante”) in vari provvedimenti, tra cui quello del 9 dicembre 1997[4], in relazione ad una circolare del Ministero delle finanze, aveva richiamato l’attenzione sulla necessità di individuare in maniera più corretta la figura del titolare del trattamento. Nel confermare che “gli enti, le persone giuridiche e le pubbliche amministrazioni articolate in direzioni generali o in sedi centrali, decentrate o periferiche […] sono “titolari” nel loro complesso dei trattamenti” e che “non sia possibile individuare la titolarità del trattamento nelle persone fisiche preposte ad una direzione generale o ad un´area”, ha altresì precisato che il Titolare debba esercitare un potere decisionale reale e del tutto autonomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.
- il potere di determinazione:
- ossia l’influenza fattuale che il titolare ha sulle operazioni di trattamento: in tal senso, rileva la sua autonomia decisionale. Tale autonomia non deve essere necessariamente assoluta, ma applicata sugli elementi essenziali del trattamento, secondo quanto indicato più avanti.
- in questo senso possono essere utili alcune domande per aiutare a identificare il titolare: perché si sta effettuando un trattamento? Chi lo ha iniziato? Chi beneficia del trattamento?
- delle finalità e i mezzi:
- il livello di dettaglio con cui si determinano il perché ed il come si trattano dati, sarà essenziale per capire se un soggetto ricopre il ruolo di titolare.
- finalità: è per l’appunto la ragione per cui si trattano i dati personali, dunque il titolare sarà il soggetto che stabilisce lo scopo e l’obiettivo da raggiungere attraverso il trattamento.
- mezzi: perché un soggetto sia titolare dovrà determinare i c.d. elementi essenziali dei mezzi del trattamento stesso, da intendersi quali: i dati che verranno trattati, il periodo di conservazione, le categorie di interessati da cui raccoglierli, chi avrà accesso ai dati, i destinatari dei dati. La determinazione di strumenti hardware e software e delle misure di sicurezza è da considerarsi in linea di massima quale elemento non essenziale dei mezzi del trattamento, e può essere demandata al responsabile[5], nei limiti delle indicazioni generali del titolare, che dovranno in ogni caso essere in linea con i principi generali di protezione dei dati personali.
Inoltre, la definizione di titolare prevede esplicitamente la possibilità che la determinazione di finalità e mezzi del trattamento avvenga “insieme ad altri”. Da ciò se ne deduce che la titolarità non deve per forza essere riferita specificamente ad un’unica entità, ma può essere attribuita ad una pluralità di soggetti in qualità di contitolari.
Questo concetto, che era già presente nella Direttiva 95/46, non è nuovo, e comporta obblighi addizionali per i contitolari al fine di garantire la trasparenza e correttezza del trattamento.
Il responsabile del trattamento
Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Quando un soggetto può definirsi responsabile del trattamento? Il Parere 1/2010 aveva già indicato i due requisiti essenziali affinché tale posizione venisse riconosciuta ovvero (i) essere un soggetto giuridicamente distinto dal titolare del trattamento e (ii) trattare i dati personali per conto del titolare.
Sia il Parere 1/2010 che le Linee guida pongono l’accento sul concetto fondamentale dell’agire “per conto del titolare”, da cui già implicitamente se ne ricava che l’esistenza del responsabile dipende da una scelta definita dal titolare stesso. Ed infatti è solo il titolare del trattamento che decide se una parte delle attività erogate vadano effettuate in house o esternalizzate al di fuori dell’organizzazione e che valuta la liceità del trattamento dei dati personali.
“Agire per conto” del titolare, dunque, significa che il responsabile svolge le proprie funzioni in forza di un contratto e nell’interesse e secondo le indicazioni del titolare, quantomeno per quanto riguarda le finalità e gli elementi essenziali dei mezzi del trattamento (come sopra indicato). Ad ogni modo, a questo incarico non corrisponde per forza una subordinazione totale, e il fatto che un compito sia svolto per conto di un altro soggetto non compromette l’indipendenza del responsabile nel suo svolgimento. Può essere infatti riservato al responsabile un ampio margine di autonomia nella determinazione degli elementi non essenziali del trattamento.
Tuttavia, questo margine di autonomia del responsabile del trattamento deriva da una decisione del titolare: spetta all’accordo tra le parti il ruolo di determinare ed accettare procedure e modalità operative eventualmente già prestabilite dal responsabile relative a certe operazioni di trattamento. Benché, infatti, il responsabile possa suggerire certe modalità, spetterà comunque al titolare accettarle.
In sostanza, non è necessario che il titolare imponga al responsabile tutti i mezzi di svolgimento di determinate operazioni di trattamento, ma come visto prima potrà limitarsi a determinarne gli elementi essenziali.
Pertanto, il responsabile potrà godere di autonomia nel normale ambito di discrezionalità a sua disposizione stabilito dal contratto. Quando invece il comportamento comporterà una violazione del contratto o una autonoma definizione degli elementi essenziali di un trattamento e delle sue finalità, si configurerà una titolarità autonoma in capo al soggetto a cui è stata esternalizzata l’attività di trattamento.
La valutazione del grado di autonomia è molto delicata: è teoricamente possibile, infatti, che il responsabile vada oltre i propri obblighi contrattuali e prenda decisioni autonome in merito a mezzi e finalità del trattamento.
Per capire se ciò comporti una riqualificazione del soggetto da responsabile in titolare, tuttavia, bisognerà valutare, tra le altre cose, anche la ragione sottesa a tale condotta: non sembrerebbe doversi qualificare titolare autonomo, ad esempio, se la decisione autonoma è volta solo a garantire il rispetto dei principi di protezione dei dati.
Se invece essa è finalizzata ad un riutilizzo dei dati per fini propri, allora il responsabile dovrebbe chiaramente essere riqualificato come titolare autonomo[6].
Certamente il compito dell’interprete sarà quello di verificare concretamente e caso per caso le singole attività poste in essere per giungere alla sua definizione. Vi sono casi in cui l’identificazione del ruolo di responsabile potrebbe risultare semplice e inequivocabile, come ad esempio nel caso di una società incaricata da un altro soggetto dell’elaborazione di buste paga. In altri casi, invece, tale identificazione risulta più ardua.
Titolare e responsabile del trattamento: esempi identificativi
Alla luce di quanto detto, dunque, appare evidente che non si possa stabilire a priori se un soggetto agisca in qualità di titolare o responsabile. Occorra analizzare il caso concreto per verificare la presenza degli elementi sopra indicati e qualificare correttamente i protagonisti coinvolti. In alcuni casi, tuttavia, ciò non è facile: di seguito si riportano alcuni esempi per guidare l’interprete nell’identificazione dei ruoli.
- Società che effettua videosorveglianza: il proprietario di un immobile decide di installare un impianto di videosorveglianza e il modo in cui le immagini sono raccolte e conservate, affidandosi ad una società di vigilanza per l’installazione delle telecamere e lo svolgimento dell’attività di tele vigilanza. In questo caso risulta pacifico che sia il proprietario dell’immobile a determinare esclusivamente mezzi e finalità del trattamento, dunque questi sarà qualificabile come titolare e la società addetta alla videosorveglianza agirà in qualità di responsabile.
- Avvocato: nel caso in cui una persona si rivolga ad un avvocato per difenderlo in giudizio, si potrebbe pensare che quest’ultimo tratti dati personali per conto del cliente, e vada inquadrato come responsabile. In effetti questi agisce in forza di un mandato dal cliente, tuttavia l’oggetto del mandato stesso verte sulla rappresentanza in giudizio, e non sul trattamento di dati personali. Di conseguenza, in forza delle conoscenze specializzate dell’avvocato e della sua competenza professionale che svolgono un ruolo essenziale nella fornitura dei suoi servizi, questi, secondo il Parere 1/2010, andrebbe considerato in linea di massima quale titolare autonomo[7].
- Contabile: anche questa figura ha causato alcuni dubbi interpretativi. Ad avviso del Gruppo ex art. 29 tale posizione doveva essere interpretata in concreto: quando il mandato che riceve è molto generico, analogamente agli avvocati egli andrebbe inquadrato come titolare autonomo. Quando invece il mandato è particolarmente dettagliato, allora la sua qualifica è di responsabile. È importante tuttavia non confondere il ruolo dei contabili con quello dei consulenti del lavoro. Da questo esempio, infatti, è scaturita una nota circolare con cui il Consiglio nazionale dei consulenti del lavoro riteneva di poter inquadrare, indiscriminatamente, i consulenti del lavoro come titolari autonomi del trattamento nello svolgimento di attività di elaborazione delle buste paga dei clienti[8] (o tutt’al più contitolari di questi ultimi). Tale inquadramento è stato oggetto di intervento da parte del Garante[9], che ha corretto l’impostazione interpretativa del Consiglio nazionale dei consulenti del lavoro stabilendo, in modo molto chiaro, che nell’attività di elaborazione delle buste paga per i propri clienti, il consulente del lavoro è da considerarsi come responsabile del trattamento.
- Agenzia di viaggi: il Parere 1/2010 offre alcuni scenari differenti in base all’attività eseguita. Uno di questi è il caso in cui un’agenzia invia i dati personali del suo cliente ad una compagnia aerea per effettuare la prenotazione per un pacchetto viaggio. La compagnia aerea conferma la disponibilità dei posti mentre l’agenzia emette i documenti di viaggio. Che ruolo ricopre la compagnia aerea? In questo caso l’attività è un semplice scambio di dati tra titolari distinti – l’agenzia e la compagnia – senza che vi sia una condivisione di finalità o strumenti in un insieme di operazioni comuni.
- Società di hosting: nel caso delle società di hosting si riscontrano ancora molti dubbi interpretativi su come qualificare il servizio di hosting e manutenzione di un sito web. In merito il Parere 1/2010 è piuttosto chiaro – il provider di questi servizi è in linea di principio qualificabile come responsabile del trattamento per i dati personali che transitano sui siti dei clienti. Ovviamente, ciò è vero fino al momento in cui tali dati vengono utilizzati solo per gli scopi determinati dai clienti. Qualora il provider decida di utilizzarli per finalità distinte ed ulteriori, potrà configurarsi un ambito di titolarità autonoma.
NOTE
- Parere n. 1 del 16 febbraio 2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” adottato il 16 febbraio 2010 da parte del “Gruppo di lavoro articolo 29 per la protezione dei dati”. ↑
- Ormai noto come European Data Protection Board. ↑
- Le Linee guida, p. 1, riportano per l’appunto che “While these guidelines are aimed at the Data Protection Officers, Data Protection Coordinators and all persons having responsibility within the EUIs for the processing operations of personal data, other external organisations might equally find them useful”. ↑
- documento web. 39785 del 9 dicembre 1997 del Garante per la protezione dei dati personali ↑
- Linee guida p.9 “As for the determination of more practical aspects of the processing operation(s), the socalled ‘non-essential elements of the means’, in the same opinion, the Working Party 29 considers these to be the hardware or software to be used or the technical security measures. It may well be possible that these may be identified and determined by the data processor, to the extent this is carried out following the general instructions of the data controller”. ↑
- Le Linee guida sembrano andare in questo senso: “In practice, it is possible that the processor could go beyond its role i.e. by acting outside of the agreement or making decisions about the purpose and the essential elements of the means of a specific processing operation. Whether such situation means that a processor should automatically be classified as controller (with all of the responsibilities it entails) would depend inter alia on the scope of the deviation, for example when such behaviour serves to ensure compliance with data protection principles. However, if the processor further reuses data for its own purposes, clearly overstepping the general governance and purposes set out in the agreement with the controller, this would result in a clear breach of its obligations.”, p. 17. ↑
- Vedasi esempio n. 21, p. 29, del Parere 1/2010. ↑
- Vedasi comunicato stampa del Consiglio dei consulenti del lavoro. ↑
- Vedasi provvedimento del 7 febbraio 2019 del Garante. ↑