Data protection

Contitolarità dei dati personali: profili evolutivi

Quando può dirsi che due o più soggetti sono contitolari? Analizziamo l’argomento alla luce dei dettami del GDPR, della Convenzione 108 del Consiglio d’Europa, dei pareri dell’autorità Garante e delle linee guida dell’European Data Protection Supervisor

14 Apr 2020

Marco Catalano

avvocato, consulente privacy

Alfredo Zallone

avvocato, consulente privacy

Affrontare il ruolo della contitolarità dei dati personali significa partire dall’assunto che la titolarità di un dato personale non deve per forza essere riferita specificamente a un’unica entità, ma può essere attribuita a una pluralità di soggetti che determinano congiuntamente finalità e mezzi del trattamento, in qualità di contitolari. Pertanto, non sarebbe corretto affermare che l’inquadramento di tale ruolo rappresenti una delle novità previste ed introdotte dal Regolamento UE n. 2016/679 (di seguito “GDPR”).

Evoluzione del concetto di contitolarità

La Convenzione 108 del Consiglio d’Europa è stata la prima a fornire una definizione al concetto di “detentore di una collezione di dati”, dalla quale si è poi evoluto il termine “titolare”, che tuttavia non prevedeva una pluralità di soggetti attivi nel trattamento. La Direttiva 95/46/CE (di seguito la “Direttiva”) ha introdotto il termine “titolare” prevedendo, per la prima volta, che il ruolo di determinazione delle finalità e mezzi potesse essere condiviso tra più soggetti, cristallizzando quindi anche la definizione di contitolare. Nella definizione[1] di titolare, oramai abrogata, si prevedeva infatti che questo fosse:

“la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario”.

È evidente che dunque il concetto di contitolare fosse già ricompreso nella più ampia definizione di titolare fornita dalla Direttiva. Infatti, nonostante non fosse espressamente menzionato il concetto di “contitolare”, già dai suoi primi provvedimenti[2] l’Autorità Garante per la protezione dei dati personali (di seguito il “Garante”), in relazione ad alcuni quesiti posti anche da ministeri e grandi imprese, aveva confermato la possibilità di una contitolarità dei dati tra soggetti dotati di poteri decisionali autonomi, rilevando che: “L´autorità ha, peraltro, ribadito che, nel caso di grandi enti o amministrazioni, articolati in direzioni generali o in sedi centrali e periferiche dotate di poteri decisionali del tutto autonomi sui trattamenti effettuati nel loro ambito, le stesse articolazioni possono a loro volta essere considerate come “titolari” o “contitolari” del trattamento”.

Inoltre, il parere n. 1 del 16 febbraio 2010[3] (di seguito “Parere 1/2010”) del Gruppo di lavoro ex. art. 29[4], noto agli operatori del diritto per il prezioso supporto interpretativo circa le difficoltà applicative dei concetti di titolare e responsabile, ha confermato non solo l’esistenza di una contitolarità dei dati ma che la stessa può essere assunta da diversi soggetti in varie forme e combinazioni.

Il GDPR non modifica la definizione di titolare, e dunque di contitolare, già contenuta nella Direttiva. Tuttavia, all’art. 26 introduce per la prima volta una norma specificamente rivolta a regolare le situazioni di contitolarità.

A livello interpretativo, infine, il concetto di contitolarità viene affrontato nelle recenti linee guida dell’European Data Protection Supervisor, o EDPS, del 7 novembre 2019[5] (di seguito le “Linee guida”) sui concetti di titolare, responsabile e contitolare ai sensi del Regolamento 2018/1725[6]. Nonostante le Linee guida siano state adottate in relazione a una normativa applicabile alle istituzioni europee, distinta rispetto al GDPR, di fatto forniscono spunti pratici alle organizzazioni per comprendere la portata interpretativa di questo concetto[7].

Disciplina del GDPR sui contitolari

Quando può dirsi che due o più soggetti sono contitolari? La definizione fornita dall’art. 26 del GDPR stabilisce che due o più titolari del trattamento sono da considerarsi contitolari del trattamento quando “determinano congiuntamente le finalità e i mezzi del trattamento”.

Tali determinazioni devono essere sancite in un accordo interno, comunemente noto come “accordo di contitolarità”, in grado di delineare, tra le altre cose, le rispettive responsabilità e doveri in materia di protezione dei dati personali, i cui elementi essenziali dovranno essere messi a disposizione all’interessato. Lo stesso Parere 1/2010 spiegava già come la definizione di “trattamento” della Direttiva non escludesse la possibilità che diversi attori intervenissero in varie operazioni o insiemi di operazioni su dati personali (che possono avere luogo simultaneamente o in varie fasi), e li invitava a definire ruoli e responsabilità relativi al trattamento. A conferma di tali indicazioni, il GDPR ha previsto la sanzionabilità, ai sensi dell’art. 83, comma 4, lett. a), della mancata osservanza degli obblighi di cui all’art. 26.

Come individuare i contitolari del trattamento

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

Così come non esiste una soluzione univoca per identificare titolare e responsabile, lo stesso accade con la contitolarità. Occorre, caso per caso e in funzione degli elementi fattuali, esaminare gli specifici trattamenti in questione, capire chi li determina e in quali forme o combinazioni e valutare le singole responsabilità che potrebbero derivarne. In tal senso è lo stesso considerando 79 del GDPR che sancisce che la responsabilità generale dei titolari esige una chiara ripartizione dei ruoli e delle responsabilità dei diversi soggetti che intervengono in un trattamento. A tal proposito, l’accordo di contitolarità rappresenta lo strumento giuridico finalizzato ad una corretta suddivisione dei trattamenti effettuati dai singoli soggetti coinvolti nonché ad una adeguata ripartizione delle attività da porre in essere in caso di gestione di un esercizio di diritti da parte dell’interessato, in caso di data breach oppure nel caso in cui sia necessario eseguire una valutazione d’impatto. In tal senso tale accordo potrà stabilire gli opportuni compiti per definire metodologie appropriate per la conduzione di tali attività.

Ma come si comprende se più soggetti coinvolti in un trattamento sono contitolari? A tal fine, come già detto, vi sarà contitolarità quando, già prima dell’inizio del trattamento, ciascuna delle parti ha la facoltà o il diritto di determinare finalità o mezzi essenziali delle operazioni del trattamento. Di conseguenza già prima della stipula del contratto, ciascun titolare deve essere a conoscenza di finalità e mezzi del trattamento, e delle facoltà e diritti attribuiti alle altre parti in relazione al trattamento stesso.

Dubbi interpretativi

Sorgono tuttavia dei dubbi in relazione a questo concetto, apparentemente semplice da capire.

Può esserci contitolarità se un soggetto non ha l’accesso ai dati? Nel corso degli anni si è argomentato che l’impossibilità di avere accesso ai dati personali sarebbe di per sé causa sufficiente per escludere situazioni di contitolarità. Tuttavia, la Corte di Giustizia dell’Unione Europea, nel caso C-210/16[8] (era ancora applicabile la Direttiva) ha stabilito che “la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati”. Lo stesso principio è stato anche ribadito nella causa C-25/17[9], in cui la comunità religiosa dei testimoni di Geova e i suoi adepti sono stati inquadrati come contitolari del trattamento nell’ambito delle attività di predicazione porta a porta anche se non hanno direttamente tutti accesso ai dati.

Le responsabilità indicate nell’accordo di contitolarità devono essere uguali? No, non è necessario. Le responsabilità e gli obblighi possono essere uguali – in tal caso si parlerà di contitolarità simmetrica – o diversi – si parlerà di contitolarità asimmetrica. La causa C-210/16 chiarisce infatti che “l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie”.

Se uno solo dei contitolari decide di rivolgersi a un responsabile del trattamento, ci sono conseguenze sulla contitolarità e sulle responsabilità? No, non ci sono differenze, ma sarebbe opportuno regolamentare questo tipo di occorrenze e le modalità di nomina dei responsabili del trattamento nell’accordo di contitolarità.

  1. Si precisa che nella traduzione in italiano della Direttiva per “Responsabile del trattamento” si intende il “titolare del trattamento” mentre per “incaricato del trattamento” si intende il “Responsabile del trattamento”;
  2. Garante per la protezione dei dati personali, comunicato stampa 11 dicembre 1997, disponibile su https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/49205.
  3. Parere n. 1 del 16 febbraio 2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” adottato il 16 febbraio 2010 da parte del “Gruppo di lavoro articolo 29 per la protezione dei dati”, disponibile al link https://www.garanteprivacy.it/documents/10160/10704/wp169+-+Parere+1+2010+sui+concetti+di+responsabile+del+trattamento+e+incari.pdf/64cd4700-f0d4-4c04-b834-9c3da69a93ea?version=1.1.
  4. Ormai noto come European Data Protection Board.
  5. EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725”, disponibili al seguente link: https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf
  6. Il regolamento è disponibile al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018R1725&from=IT.
  7. Le Linee guida, p. 1, riportano per l’appunto che “While these guidelines are aimed at the Data Protection Officers, Data Protection Coordinators and all persons having responsibility within the EUIs for the processing operations of personal data, other external organisations might equally find them useful”.
  8. Causa C-210/2016 Wirtschaftsakademie Schleswig-Holstein GmbH, disponibile al link: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=2471877.
  9. Nella causa C-25/17 Jehovan todistajat, è stabilito che “L’articolo 2, lettera d), della direttiva 95/46, letto alla luce dell’articolo 10, paragrafo 1, della Carta dei diritti fondamentali, dev’essere interpretato nel senso che esso consente di considerare una comunità religiosa, congiuntamente ai suoi membri predicatori, quale responsabile dei trattamenti di dati personali effettuati da questi ultimi nell’ambito di un’attività di predicazione porta a porta organizzata, coordinata e incoraggiata da tale comunità, senza che sia necessario che detta comunità abbia accesso a tali dati o che si debba dimostrare che essa ha fornito ai propri membri istruzioni scritte o incarichi relativamente a tali trattamenti. Disponibile al link: http://curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=C-25/17#.

C
Marco Catalano
avvocato, consulente privacy
Z
Alfredo Zallone
avvocato, consulente privacy

Articolo 1 di 5