Privacy: L’ipotesi Della Contitolarità.
La contitolarità del trattamento è descritta nel GDPR all’art. 26 che stabilisce che sono contitolari del trattamento due o più titolari che stabiliscono congiuntamente le finalità e i mezzi del trattamento. Essi devono redigere un accordo interno (cd. accordo di contitolarità) prevedendo le rispettive responsabilità riguardo alla privacy compliance di ciascun contitolare durante il trattamento (in contitolarità), con particolare riferimento all’esercizio dei diritti dell’interessato, agli obblighi di rendere l’informativa ex artt. 13 e 14 GDPR ed ai ruoli e rapporti dei contitolari con gli interessati. L’accordo può designare un punto di contatto per gli interessati e il contenuto essenziale dell’accordo è messo a disposizione dell’interessato (art. 26, n. 2, GDPR).
Nonostante il GDPR non indichi la forma che deve avere l’accordo interno tra contitolari (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) l’EDPB raccomanda caldamente l’adozione di un atto scritto che vincoli le parti, anche in ossequio al principio di accountability.
Le linee guida 7/2020 del 2 settembre 2020 sono state emanate dall’EDPB (European Data Protection Board) per chiarire il ruolo di titolari e contitolari nonché responsabili del trattamento e che le precisazioni indicate nel provvedimento relative al titolare del trattamento valgono anche per il contitolare (punto 47 linee guida).
Per potersi configurare la contitolarità del trattamento, il contitolare deve decidere (con gli altri contitolari) gli elementi chiave del trattamento, determinarne il perché ed il come ovvero le finalità ed i mezzi e non è necessario che il contitolare per essere tale acceda ai dati. Il potere decisionale deve risultare da circostanze di fatto, in particolare dal rapporto tra le parti, deve dunque essere sostanziale ed il relativo accordo deve essere anche nella forma in linea con questa sostanza, tanto che l’Autorità di Controllo non è vincolata alla forma data dalle parti, se diversa dalle risultanze fattuali (caso in cui si formalizza erroneamente una nomina a responsabile del trattamento quando invece si tratta di contitolarità o viceversa).
I Contitolari determinano le finalità e i mezzi del trattamento congiuntamente mediante una decisione comune oppure mediante decisioni convergenti ove le decisioni dei contitolari sono tra loro complementari e necessarie per l’esistenza del trattamento stesso, tale che senza l’uno il trattamento non sarebbe possibile e il trattamento di ciascun contitolare è inscindibile e inestricabilmente a quello di altro/i contitolare/i.
Per quanto concerne mezzi e finalità (talvolta possono essere anche predeterminate dalla legge).le linee guida distinguono tra la scelta dei mezzi essenziali e non essenziali del trattamento:
- come esempi di mezzi essenziali che devono essere decisi dal contitolare, sono indicati la tipologia di dati personali trattati, la durata del trattamento, le categorie di destinatari e dunque chi ha accesso ai dati e le categorie degli interessati. Le finalità del trattamento, talvolta, questa possono essere anche predeterminate dalla legge.
- I mezzi non essenziali riguardano aspetti più pratici del trattamento e possono essere decisi anche dal responsabile del trattamento che ha un certo margine di manovra in questo (ad es. nella scelta di hardware or software o delle misure di sicurezza da utilizzare in concreto).
Se manca la condivisione della finalità e dei mezzi (essenziali) non vi è contitolarità ma vi saranno, se del caso, rapporti tra autonomi titolari o tra titolare e responsabile, non essendo sufficiente per qualificarsi come finalità del trattamento (e dunque per configurare contitolarità) la mera esistenza di un beneficio economico o commerciale comune tra le parti. Vi è contitolarità invece anche quando i contitolari sono coinvolti in differenti fasi o gradi o misura del trattamento (sempre però nel perseguimento della finalità comune) oppure quando si utilizza per il trattamento mezzi forniti da uno solo dei contitolari e in tale ultimo caso la scelta di utilizzare quel mezzo per il trattamento è essa stessa scelta del mezzo; lo stesso dicasi se si utilizza per il trattamento in contitolarità una piattaforma già esistente, anche in questo caso la decisione di avvalersi di questa costituisce scelta del mezzo. Ma il solo fatto di utilizzare una piattaforma comune non necessariamente configura un caso di contitolarità, che va verificata caso per caso e che non sussiste ad es. quando il trattamento è separabile e può essere eseguito senza l’intervento dell’altro o ancora se il trattamento avviene da un fornitore del servizio che però non agisce per uno scopo proprio (in questo caso potrà configurarsi come responsabile).
L’accordo deve:
- contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati;
- deve indicare in modo chiaro e trasparente le decisioni concordate, anche operative, affinché tutte le fasi del trattamento in contitolarità siano privacy compliant nel rispetto del GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento.
Le rispettive responsabilità per il controllo e l’adeguamento al GDPR di tutte le fasi del trattamento in contitolarità, devono essere stabilite, in particolare:
- nell’utilizzo dei dati da parte dei contitolari per la sola finalità concordata;
- nell’adozione delle misure di sicurezza;
- nell’attuazione dei principi privacy;
- nel rendere l’informativa artt.13 e 14 GDPR, dunque i contitolari devono concordare chi dovrà adempiere a fornire l’informativa agli interessati e chi deve occuparsi delle richieste dell’interessato, anche se quest’ultimo può rivolgersi a qualunque contitolare;
- nella procedura in caso di data breach;
- nell’essere in possesso di idonea base giuridica, che può essere diversa per ciascun contitolare, con raccomandazione ove possibile di utilizzare la stessa base giuridica per la finalità condivisa (nota 56 punto 163 linee guida)
- nella redazione della DPIA, individuando i rispettivi obblighi e responsabilità anche sulla scelta delle misure di sicurezza, fornendo indicazioni utili, nel rispetto dei segreti aziendali o proprietà intellettuale;
- nell’avvalersi di responsabili del trattamento,
- nell’esercizio dei diritti dell’interessato, chiarendo anche i ruoli e rapporti dei contitolari con gli interessati,
- nel trasferimento dei dati a Paesi terzi,
- nell’organizzare un punto di contatto con gli interessati al trattamento e autorità di controllo.
I contitolari dovranno documentare i fattori rilevanti e le analisi interne che hanno portato a distribuire in tal modo le responsabilità tra quei contitolari. L’EDPB chiarisce che in caso di contitolarità, le responsabilità tra i contitolari coinvolti nel trattamento possono essere diverse l’uno dall’altro proprio a seconda della responsabilità assunta nell’accordo interno di contitolarità; ferma restando la responsabilità solidale dei contitolari nei confronti dell’interessato, il contitolare può agire in regresso nei confronti degli altri contitolari.
I punti essenziali dell’accordo devono essere messi a disposizione dell’interessato, ma non sono indicate le modalità né il contenuto minimo da fornire in concreto; per questo l’EDPB raccomanda che il contenuto minimo dell’estratto dell’accordo debba chiarire chi è il contitolare responsabile per ogni elemento previsto dall’informativa generale privacy (art.13 o 14 GDPR). L’EDPB, relativamente alle modalità della messa a disposizione dell’estratto dell’accordo interno, prevede la possibilità, a titolo esemplificativo di inserire l’estratto nella stessa informativa art. 13 o 14 oppure di indicare nell’informativa il punto di contatto per gli interessati anche per richiedere l’estratto. La previsione del punto di contatto, pur non obbligatorio, è raccomandato e può essere indicato a tal fine anche il DPO ove nominato.