La distinzione tra ruoli privacy (titolare, responsabile, contitolare) è uno dei passaggi ineludibili quando si ragiona di protezione dei dati, non sempre intuitiva e pacifica. L’EDPB, quale rappresentante delle autorità di controllo europee, dopo una prima bozza di settembre, ha pubblicato il 7 luglio scorso la versione definitiva 2.0 delle proprie linee guida 7/2020 con cui supportare i ragionamenti (e dunque l’accountability) sulla qualifica dei soggetti coinvolti. Dopo la consultazione pubblica è stato generalmente rispettato l’impianto della prima bozza. Tuttavia, la nuova e definitiva versione espone alcuni nuovi casi e precisazioni che meritano un’analisi più focalizzata, costituendo strumenti utili per ogni riflessione, come tenteremo di fare di seguito, soprattutto nell’ambito del marketing. Un settore in cui si concentra una nutrita serie di esempi e che può trovare grande giovamento dalle spiegazioni dell’autorità.
Precisazioni ed esempi per il settore del marketing
Lancio di una campagna
Nel primo esempio, il reparto marketing di una società lancia una campagna pubblicitaria per promuovere i prodotti della propria azienda. Nonostante il reparto marketing decida la natura della campagna, i mezzi da utilizzare (e-mail, social media ecc.), a quali clienti indirizzarsi e quali dati utilizzare per rendere la campagna il più efficace possibile, in maniera indipendente, sarà comunque la società a essere considerata il titolare visto che la campagna pubblicitaria viene lanciata dalla stessa società e si svolge nell’ambito delle sue attività commerciali e per i suoi scopi. Da qui l’EDPB chiarisce che in linea di principio, si può presumere che qualsiasi trattamento dei dati personali da parte di dipendenti che avvenga nell’ambito delle attività di un’impresa avvenga sotto il controllo di tale organizzazione.
Qualora, in casi eccezionali, possa accadere che un dipendente decida di utilizzare i dati personali per i propri scopi, superando così illecitamente il perimetro di azione che gli è stato concesso da titolare, l’EDPB ricorda il dovere del titolare di assicurarsi che vi siano adeguate misure tecniche e organizzative, come la formazione e l’informazione ai dipendenti, per garantire il rispetto del GDPR.
Call center e determinazione dei mezzi non essenziali
Un altro esempio coinvolge i call center, quando delegati dal titolare, che esternalizzano le proprie relazioni telefoniche con clienti/prospect. Il call center riceve dal titolare dati personali sugli acquisti dei clienti e le informazioni di contatto, utilizzando il proprio software e la propria infrastruttura IT per gestire i dati personali riguardanti tali contatti. Dunque ricopre il ruolo di responsabile ex art. 28 GDPR della società committente, la quale avrà determinato che le misure di sicurezza tecniche e organizzative – proposte dal call center – sono appropriate ai rischi in questione e che il call center tratta i dati personali solo ai fini determinati dalla committente stessa e in conformità alle sue istruzioni (sebbene il responsabile possa suggerire elementi che, se accettati dal titolare, vengono a far parte delle istruzioni fornite). Tutto ciò sebbene la società non fornisca ulteriori istruzioni al call center – né in merito al software specifico né istruzioni dettagliate relative alle misure di sicurezza specifiche da attuare. Pertanto, il ruolo del call center resta quello di responsabile, nonostante abbia determinato alcuni mezzi “non essenziali” del trattamento.
Per quanto riguarda tale distinzione, qui l’EDPB riconosce mezzi essenziali e mezzi non essenziali. I mezzi essenziali sono strettamente legati allo scopo e alla portata del trattamento e sono tradizionalmente e intrinsecamente riservati al titolare del trattamento. Esempi ne sono il tipo di dati personali trattati (“quali dati saranno trattati?”), la durata del trattamento (“per quanto tempo saranno trattati?”), le categorie di destinatari (“chi avrà accesso ai dati?“) e le categorie di interessati (“di chi sono quelli i cui dati personali vengono trattati?”). I mezzi essenziali sono anche strettamente legati alla questione se il trattamento sia lecito, necessario e proporzionato. I mezzi non essenziali riguardano invece aspetti più pratici, come la scelta di un particolare tipo di software oppure le misure di sicurezza dettagliate che possono essere lasciate alle valutazioni del responsabile.
Ricerche di mercato e autonomia decisionale
Sul tema delle ricerche di mercato l’autorità fa persino due esempi, a distinguere situazioni comuni nella prassi e non prive di somiglianze e confusioni.
Nel primo caso, un’azienda incarica un fornitore di svolgere tali indagini, istruendolo sul tipo di informazioni a cui è interessata e fornendo un elenco di domande da porre a coloro che partecipano alla ricerca. La società incaricante riceve, infine, solo informazioni statistiche (ad es. identificando le tendenze dei consumatori per regione), aggregate dal fornitore, e non ha accesso ai dati personali dei singoli intervistati. Tuttavia, è tale società ad aver deciso che il trattamento dovesse avvenire, lo scopo e l’attività, fornendo istruzioni dettagliate su quali dati raccogliere. Pertanto, è sufficiente a far ritenere la società committente quale titolare del trattamento, ancor più considerando che il fornitore può elaborare i dati solo per lo scopo indicato dalla società committente, secondo le sue istruzioni, ricoprendo il mero ruolo di responsabile.
Parzialmente diverso è il secondo caso delle linee guida: ciò che cambia è il fornitore, cioè un’agenzia di ricerche di mercato che ha già raccolto ex ante informazioni sugli interessi dei consumatori, attraverso questionari che riguardano un’ampia varietà di prodotti e servizi, analizzando i risultati in modo indipendente, secondo una propria metodologia. Quindi alla società committente fornirà sì statistiche anonime come nel primo caso ma quale frutto di attività proprie, scevre da istruzioni della committente, rivestendo pertanto il ruolo di titolare autonomo, unico decisore di mezzi e finalità.
L’uso di piattaforme comuni per la raccolta dei dati e il marketing congiunto
Interessante e diffuso è anche il caso dei molteplici soggetti che usano una medesima fonte di raccolta dati come ad es. un sito web. Nell’esempio EDPB, un’agenzia di viaggi, una catena alberghiera e una compagnia aerea decidono di partecipare congiuntamente alla creazione di una piattaforma Internet, allo scopo comune di fornire pacchetti di viaggi. Essi concordano sui mezzi essenziali da utilizzare, quali dati saranno conservati, le modalità di gestione e conferma delle prenotazioni e chi può avere accesso alle informazioni memorizzate. Oltretutto decidono di condividere i dati dei loro clienti al fine di svolgere azioni di marketing congiunte. In questo caso l’agenzia di viaggi, la compagnia aerea e la catena alberghiera determinano congiuntamente mezzi e fini e saranno quindi contitolari ex art. 26 GDPR per quanto riguarda le operazioni di prenotazione tramite la piattaforma nonché per le azioni di marketing congiunte. Ovviamente ciascuno di essi resterà titolare autonomo per quanto riguarda separate attività di trattamento, ad es. per azioni di marketing autonome, pur utilizzando gli stessi dati raccolti in comune.
In tale frangente, l’EDPB ritiene le decisioni tra contitolari “convergenti” per scopi e mezzi se si completano a vicenda e sono necessarie affinché il trattamento abbia luogo, in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. Tale convergenza va considerata in relazione alle finalità e ai mezzi del trattamento, senza considerare altri aspetti del rapporto commerciale tra le parti (posto che in un rapporto commerciale v’è sempre una convergenza di interessi per definizione).
Peraltro viene proposto un ulteriore esempio in cui, invece, un fornitore di servizi promozionali – che sia dapprima nominato responsabile per utilizzare i contatti comunicati dal titolare per svolgere l’attività – qualora svolga ulteriori attività proprie su tali dati (es. sviluppo della propria attività commerciale) non concordate col titolare, sarà da considerarsi titolare autonomo per tali attività e in violazione della normativa (avendo agito al di fuori delle istruzioni ricevute e senza gli adempimenti verso gli interessati).
Eventi per il lancio di un prodotto in co-branding
Nella prassi non mancano eventi di lancio di prodotti/servizi. Le linee guida ipotizzano due società che lanciano in co-branding un prodotto proprio sfruttando un evento organizzato ad hoc, decidendo di condividere i dati dei rispettivi clienti e database dei potenziali clienti, per determinare l’elenco degli invitati all’evento su questa base. Concordando le modalità per l’invio degli inviti all’evento, come raccogliere feedback nel mentre e le azioni di follow-up marketing. Determinando insieme lo scopo e i mezzi essenziali del trattamento dei dati in tale contesto, le società sono da considerarsi contitolari.
Il DB condiviso nel gruppo societario per fare marketing
Spinoso è avere a che fare con gruppi societari, ove le operazioni di marketing utilizzino un database condiviso, lo stesso per la gestione di clienti e potenziali clienti. L’esempio prevede che il DB sia ospitato sui server della società capogruppo, da considerare dunque un responsabile del trattamento delle altre società per quanto riguarda la conservazione dei dati. Ogni entità del gruppo inserisce i dati dei propri clienti e potenziali clienti, trattandoli solo per i propri scopi, decidendo in modo indipendente sull’accesso, i periodi di conservazione, la correzione o la cancellazione dei dati dei propri clienti e potenziali clienti. Le varie società non possono accedere o utilizzare i dati l’uno dell’altro: in tal caso il mero uso di una banca dati di gruppo condivisa non comporta, in quanto tale, una contitolarità, bensì un ruolo per ogni società di titolare autonomo.
L’uso di servizi e-mail promozionali e servizi IT
Possiamo trovare nel documento di indirizzo due esempi apparentemente non legati al marketing ma a questo facilmente collegabili. Si tratta di due esempi circa i fornitori di servizi di comunicazione elettronica e i cloud provider. È diffuso nella prassi l’uso di esterni per effettuare marketing ad es. tramite DEM (campagne di email dirette), anche sfruttando la loro capacità di ospitare dati e contenuti della campagna.
In breve, se l’unico scopo e ruolo del fornitore è quello di consentire la trasmissione di messaggi di posta elettronica (o analoga forma di comunicazione, ad es. tramite messaggistica), il fornitore non potrà essere considerato come titolare del trattamento per quanto riguarda i dati personali contenuti nei messaggi. Mentre il titolare per tali eventuali dati personali contenuti all’interno dei messaggi sarà normalmente considerato il mittente da cui proviene il messaggio, piuttosto che il provider del servizio utilizzato. Questo ragionamento pare applicabile a eventuali fornitori di servizi di email o comunicazioni elettroniche in ambito marketing, sempre che si limitino alla sola trasmissione.
Qualora il fornitore offra anche la possibilità di archiviare dati personali – seppure con un servizio completamente standardizzato, con poca o nessuna capacità di personalizzare il servizio, essendo termini del contratto determinati unilateralmente dal fornitore su una base “take it or leave it” – il committente resterà comunque il titolare, data la sua decisione di utilizzare questo particolare fornitore di servizi. Nella misura in cui il fornitore di tali servizi (ad es. in cloud) non tratta i dati personali per i propri scopi e memorizza i dati esclusivamente per conto dei propri clienti, in conformità alle loro istruzioni, il fornitore sarà considerato un responsabile del trattamento, anche per l’attività di trasmissione vista sopra.