L’EDPB (European Data Protection Board) il 7 settembre 2020 ha pubblicato un testo di linee guida “Guidelines on the concepts of controller and processor in the GDPR” – sottoposte a consultazione pubblica fino al 19 ottobre 2020 – sui concetti di titolare del trattamento (controller) e responsabile del trattamento (processor) nel GDPR, dedicando anche una sezione alla definizione di contitolari e che sostituiscono le precedenti Linee Guida 1/2010 del Gruppo di Lavoro ex Art. 29 [ci si riferisce al Parere del WP (169) 1/2010, adottato il 16 febbraio 2010, reso sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, sulla base di quelle che erano le vigenti definizioni per la direttiva Madre].
Tale intervento si rendeva necessario in quanto dall’entrata in vigore del GDPR sono state sollevate domande sulla misura in cui il medesimo ha portato modifiche a questi concetti, in particolare per quanto riguarda il concetto di contitolari del trattamento (come previsto dall’articolo 26, e anche a seguito di diverse sentenze della CGUE), nonché gli obblighi per i responsabili (in particolare l’articolo 28) stabiliti nel capitolo IV del GDPR.
Le Linee Guida dell’EDPB si soffermano anche sulle definizioni di “destinatario” e di “terzi”, cui il Regolamento non attribuisce specifici obblighi o responsabilità. Le nuove linee guida si articolano in due parti principali: una che spiega i diversi concetti; l’altro include indicazioni dettagliate sulle principali conseguenze di questi concetti per titolari, responsabili e contitolari. Le linee guida includono un diagramma di flusso per fornire ulteriori orientamenti pratici.
Il responsabile del trattamento alla luce delle Linee guida EDPB n. 7/2020
È chiaro che per individuare in concreto i ruoli che i singoli attori verranno a ricoprire nell’ambito delle attività di trattamento poste in essere occorre partire dalle definizioni del GDPR (art. 4) e, come anticipato, far riferimento alle Linee guida dell’EDPB n. 7/2020, sopra citate.
In questa sede ci si soffermerà sul concetto di responsabile del trattamento e si chiariranno, successivamente, i rapporti tra questi e il titolare del trattamento.
Il responsabile del trattamento è definito all’articolo 4, paragrafo 8, come «la persona fisica o giuridica, autorità pubblica, il servizio o altro organismo, che tratta i dati personali per conto del titolare del trattamento». Similmente alla definizione di controller, la definizione di responsabile del trattamento prevede un’ampia gamma di attori: può essere “una persona fisica o giuridica, autorità pubblica, servizio o altro ente”. Ciò significa che in linea di principio non vi è alcuna limitazione su quale tipo di attore può assumere il ruolo di processor. Potrebbe essere un’organizzazione, ma potrebbe anche essere una persona fisica.
Due le condizioni fondamentali per qualificarsi come responsabile del trattamento, che sono:
a) essere un’entità distinta rispetto al titolare del trattamento;
b) trattare dati personali per conto del titolare del trattamento.
Per entità distinta si intende che il titolare del trattamento decide di delegare in tutto o in parte le attività di trattamento a un’organizzazione esterna. Sicché, precisano le Linee Guida dell’EDPB, i dipendenti che agiscono sotto l’autorità diretta del responsabile del trattamento, come il personale (anche) assunto temporaneamente, non devono essere considerati responsabili del trattamento, poiché tratteranno i dati personali come parte dell’entità del responsabile del trattamento. Ne consegue che trattare dati personali per conto del titolare del trattamento richiede, in primo luogo, che l’entità separata tratti dati personali a vantaggio del titolare. In secondo luogo, il trattamento deve essere effettuato “per conto” di un titolare del trattamento, ma diversamente che sotto la sua diretta autorità o controllo. Agire “per conto di” significa servire l’interesse di qualcun altro e richiama il concetto giuridico di “delega”. È per questo che la liceità dell’attività di trattamento dei dati da parte del responsabile è determinata dal mandato ricevuto dal titolare del trattamento. Se va al di là del proprio mandato e, sostanzialmente, determina finalità e mezzi del trattamento, il responsabile diventa titolare del trattamento in questione (par. 10, art. 28).
Sulla premessa per la quale il responsabile non dovrà trattare i dati in modo diverso dalle istruzioni impartite dal titolare del trattamento, le Linee Guida precisano che queste istruzioni possono comunque lasciare un certo grado di discrezionalità su come servire al meglio gli interessi del titolare del trattamento, consentendo quindi al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più adeguati. D’altronde agire “per conto di” significa anche che il responsabile del trattamento non può effettuare trattamenti per proprio conto. E, come già anticipato, secondo l’articolo 28, par. 10, un responsabile del trattamento viola il GDPR andando oltre le istruzioni del titolare del trattamento, determinando le finalità e i mezzi del trattamento. In tal caso il responsabile del trattamento sarà considerato un titolare del trattamento rispetto a tale trattamento e potrà essere soggetto a sanzioni per essere andato oltre le istruzioni del controller.
L’EDPB nelle Linee guida ricorda che non tutti i fornitori di servizi che trattano dati personali nel corso dell’erogazione di un servizio sono “responsabili” ai sensi del GDPR. Il ruolo di un responsabile non deriva dalla natura del soggetto che sta trattando i dati, ma dalle sue attività in concreto svolte nello specifico contesto di riferimento. Sarà la natura del servizio a determinare se l’attività di trattamento corrisponde a trattamento dei dati personali “per conto” del titolare ai sensi del GDPR. In pratica, laddove il servizio fornito non sia specificamente mirato al trattamento di dati personali o laddove tale trattamento non costituisce un elemento chiave del servizio, il fornitore dello stesso potrebbe trovarsi nella posizione di determinare in modo autonomo le finalità e le modalità del trattamento per il servizio richiesto. In tale situazione, il fornitore di servizi deve essere visto come un titolare separato e non come incaricato del trattamento. Resta, tuttavia, necessaria un’analisi caso per caso per accertare il grado di influenza che ciascuna entità ha effettivamente esercitato nella determinazione delle finalità e dei mezzi del trattamento.
Alcuni esempi pratici
Per spiegare quanto detto, l’EDPB fa l’esempio di un servizio taxi che offre una piattaforma online che consente alle aziende di prenotare un taxi per il trasporto dei dipendenti o degli ospiti da e per l’aeroporto. Al momento della prenotazione di un taxi, la società ABC specifica il nome del dipendente che deve essere prelevato dall’aeroporto in modo che l’autista possa confermare l’identità dello stesso al momento del ritiro. In questo caso, il servizio taxi, che tratta dati personali del dipendente, ha progettato la piattaforma di prenotazione online per sviluppare la propria attività di impresa al fine di fornire servizi di trasporto, senza alcuna istruzione dalla società ABC. Il servizio taxi determina anche autonomamente le categorie dei dati che raccoglie e per quanto tempo li conserva. Esso funge quindi da titolare nel suo proprio ambito, fermo restando che il trattamento avvenga a seguito di richiesta di servizio dalla società ABC.
L’EDPB rileva che un fornitore di servizi può ancora agire in qualità di responsabile del trattamento anche se l’elaborazione di dati personali non costituisce l’oggetto principale o primario del servizio, a condizione che il cliente del servizio determina ancora le finalità e le modalità del trattamento nel caso concreto. Quando si considera se affidare o meno il trattamento dei dati personali a un particolare fornitore di servizi, i titolari del trattamento dovrebbero valutare attentamente se il prestatore di servizi in questione consente loro di esercitare un sufficiente grado di controllo, tenendo conto anche della natura, della portata, del contesto e delle finalità del trattamento come i potenziali rischi per gli interessati.
Per far comprendere meglio questa evenienza si ricorre ai seguenti esempi:
1) Call center. La società X esternalizza il servizio di assistenza ai propri clienti alla società Y che fornisce un call center dedicato ai clienti dell’azienda X. Per fornire un adeguato servizio di assistenza clienti, la Società Y deve avere accesso ai database dei clienti della società X. L’azienda Y può accedere ai dati solo per fornire il supporto richiesto dalla Società X e non può trattare i dati per nessun altro scopo che sia diverso da quello dichiarato dalla società X. La società Y deve essere considerata come responsabile del trattamento dei dati e deve essere stipulato tra la società X e Y un contratto in merito al trattamento dei dati.
2) Supporto IT generale. L’azienda Z assume un fornitore di servizi IT per fornire supporto generale sui propri sistemi IT che include una grande quantità di dati personali. L’accesso ai dati personali non è l’oggetto principale del servizio di supporto richiesto, ma è inevitabile che il fornitore di servizi IT abbia sistematicamente accesso ai dati personali durante l’esecuzione del servizio. L’azienda Z conclude, quindi, che la società che fornisce il servizio IT si trova inevitabilmente a trattare dati personali anche se questo non è l’obiettivo principale del servizio, pertanto deve essere considerato responsabile del trattamento. Un contratto deve essere quindi stipulato tra l’azienda Z e il fornitore di servizi IT.
3) Consulente IT che risolve un bug del software. La società ABC assume uno specialista IT di un’altra azienda per correggere un bug in un software che è utilizzato dall’azienda stessa. Il consulente IT non è assunto per il trattamento dei dati personali e la società ABC determina che qualsiasi accesso ai dati personali sarà puramente accidentale, quindi molto limitato nella pratica. ABC conclude quindi che lo specialista IT non è un responsabile del trattamento (né un titolare del trattamento a sé stante) e che la Società ABC porrà in essere misure appropriate ai sensi dell’articolo 32 del GDPR al fine di impedire al consulente IT di trattare i dati personali in modo non autorizzato.
Ovviamente, specifica il Comitato europeo, nulla impedisce al responsabile del trattamento di offrire un servizio definito preliminarmente, ma il titolare del trattamento deve prendere la decisione finale di approvare attivamente il modo in cui viene effettuato il trattamento e/o poter richiedere modifiche se necessario. Ciò viene spiegato con l’esempio del provider di servizi cloud, in cui si ipotizza che un comune abbia deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nella sua scuola e per i relativi servizi educativi. Il servizio cloud fornisce servizi di messaggistica, videoconferenze, archiviazione di documenti, gestione del calendario, elaborazione di testi ecc., e comporterà il trattamento di dati personali degli alunni e degli insegnanti. Il fornitore di servizi cloud ha offerto un servizio standardizzato che offre in tutto il mondo. In questo caso, il comune deve comunque assicurarsi che l’accordo in essere sia conforme all’articolo 28, par. 3, del GDPR e che i dati personali di cui è titolare vengono trattati esclusivamente per gli scopi del comune. Deve anche essere sicuro che le sue specifiche istruzioni sui periodi di conservazione, cancellazione dei dati, ecc., siano rispettate dal fornitore di servizi cloud, indipendentemente da ciò che viene generalmente offerto nel servizio standardizzato.
Pertanto, le Linee Guida dell’EDPB, anche con una serie di esempi pratici, evidenziano quanto sia importante l’analisi del caso concreto e che non ha importanza se il testo di accordo è predisposto da una o dall’altra parte; in molti casi i fornitori di servizi stabiliscono servizi e contratti standard da far firmare ai titolari. L’EDPB chiarisce che il fatto che il contratto e le sue dettagliate condizioni generali siano preparate dal fornitore di servizi invece che dal titolare, in primo luogo, non basta in sé per far concludere che il fornitore di servizi debba essere considerato come un titolare, e in secondo luogo, comporta che il titolare, nella misura in cui ha liberamente accettato le clausole contrattuali, ne assuma di conseguenza la piena responsabilità.
Nello stesso spirito, lo squilibrio fra il potere contrattuale di un piccolo titolare del trattamento rispetto a un grosso fornitore di servizi non può giustificare il fatto che il primo accetti clausole e condizioni non conformi alla normativa sulla protezione dei dati. Sia consentito richiamare anche l’esempio n. 18 riportato dal WP 169 (Parere 1/2010, cit.), siccome, a parere di chi scrive, tutt’ora in linea con il nuovo scenario normativo. Trattasi di un caso relativo alle piattaforme di posta elettronica, che è il seguente: «John Smith cerca una piattaforma di posta elettronica per sé e per i cinque dipendenti della sua impresa. Ne trova una adatta e di facile utilizzo – nonché l’unica gratuita –, ma scopre che conserva i dati personali per un lasso di tempo eccessivo e li trasferisce a paesi terzi senza adeguate garanzie. Le condizioni contrattuali sono, per di più, “prendere o lasciare”. In questa situazione il sig. Smith deve cercare un altro provider, oppure – in caso di presunta inosservanza delle norme sulla protezione dei dati o in mancanza, sul mercato, di altri provider adeguati – deve riferire in merito alle autorità competenti, ad esempio il garante per la protezione dei dati, le associazioni di tutela dei consumatori, le autorità antitrust, ecc.».