LA CONTITOLARITA’ NEL GDPR E ALLA LUCE DELLE NUOVE LINEE GUIDA

Reading Time: 5 minutes

Contitolarità nel GDPR. Titolare autonomo, responsabile del trattamento o contitolare?!? Questo il dubbio amletico di Dpo e consulenti privacy.  Niente paura, attraverso questo articolo cercherò di aiutarti a definire i ruoli privacy, soprattutto alla luce delle nuove linee guida. Ma andiamo con ordine.

Sappiamo che oltre alle figure di Titolare e Responsabile del trattamento, il GDPR riconosce all’art. 26 la “contitolarità” del trattamento.

Appare evidente come la definizione di tali ruoli svolga un ruolo cruciale nell’applicazione del Regolamento 2016/679 (GDPR), a tal proposito, come ho già accennato, il 2 settembre 2020 sono state emanate dall’EDPB le Linee Guida 7/2020,  che sostituiscono le precedenti Linee Guida 1/2010.

Le linee guide emanate di recente, si pongono lo scopo di fornire ulteriori chiarimenti circa il ruolo di titolari e contitolari e dei responsabili del trattamento, sottolineando come le precisazioni indicate nel provvedimento relative al titolare del trattamento valgono anche per il contitolare.

Il presente articolo si pone l’obiettivo di inquadrare la contitolarità del trattamento  così come disciplinato dall’articolo 26 GDPR grazie agli ulteriori chiarimenti offerti dalle linee guida di recente emanazione.

Le finalità, i mezzi e l’accordo di contitolarità del trattamento: nel gdpr e nelle linee guida.

La contitolarità del trattamento è stata introdotta dal GDPR il quale stabilisce all’art.26 che: allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. 

Le linee guida offrono chiarimenti utili in merito la definizione dei mezzi, finalità. Vediamoli insieme.

Per potersi configurare la contitolarità del trattamento, abbiamo detto che due o più titolari devono determinare congiuntamente i mezzi e le finalità di trattamento.

Per quanto riguarda la scelta della finalità del trattamento, talvolta questa può essere predeterminata dalla legge: in tali casi il contitolare del trattamento è il soggetto deputato per realizzare detta finalità (ad es la legge prevede che siano i Comuni a erogare sussidi economici).

Contitolarità nel GDPR: mezzi essenziali e non essenziali

Per quanto riguarda i mezzi, le linee guida distinguono tra mezzi essenziali e non essenziali del trattamento:

  • mezzi essenziali che devono essere decisi dal contitolare, sono indicati la tipologia di dati personali trattati, la durata del trattamento, le categorie di destinatari e dunque chi ha accesso ai dati e le categorie degli interessati.
  • mezzi non essenziali riguardano aspetti più pratici del trattamento e possono essere decisi anche dal responsabile del trattamento che ha un certo margine di manovra in questo, ad es. nella scelta di hardware or software o delle misure di sicurezza da utilizzare in concreto.

Vediamo alcuni casi concreti. Quando, ad esempio, si utilizza per il trattamento dei mezzi forniti da uno solo dei contitolari, in tal caso la scelta di utilizzare quel mezzo per il trattamento è essa stessa scelta del mezzo si configura quindi la contitolarità.

Si ha la contitolarità anche se si utilizza per il trattamento in contitolarità una piattaforma già esistente. In quanto, anche in questo caso la decisione di avvalersi di questa piattaforma costituisce scelta del mezzo.

Contitolarità nel GDPR: l’accordo interno

Attenzione però! Il solo fatto di utilizzare una piattaforma comune non necessariamente configura un caso di contitolarità, che va verificata caso per caso. Non sussiste la contitolarità ad esempio, quando il trattamento è separabile e può essere eseguito senza l’intervento dell’altro o ancora se il trattamento avviene da un fornitore del servizio che però non agisce per uno scopo proprio (in questo caso potrà configurarsi come responsabile).

Secondo la normativa, tale rapporto dovrà essere definito (in modo trasparente) con un accordo interno.

Cosa deve contenere tale accordo? Vediamo.

Questo atto scritto, sulla base dell’art. 26 deve:

  • evidenziare le rispettive responsabilità, con particolare riguardo all’esercizio dei diritti dell’interessato.
  • definire le rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 agli interessati, cui i titolari del trattamento sono soggetti.

…e la forma?

Il GDPR non indica la forma che deve avere (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) tuttavia l’EDPB raccomanda caldamente l’adozione di un atto scritto che vincoli le parti.

Le linee guida forniscono ulteriori chiarimenti riguardo l’accordo di contitolarità, disponendo altresì, che:

  • l’accordo deve contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati.
  • l’accordo deve indicare in modo chiaro e trasparente le decisioni concordate individuando tra i contitolari, chi ha le competenze e le per garantire gli adempimenti privacy durante l’intero trattamento, e la responsabilità ad esempio:
  • nell’adozione delle misure di sicurezza,
  • nell’utilizzo dei dati da parte dei contitolari per la sola finalità concordata,
  • nella procedura in caso di data breach.
  • nel rendere l’informativa artt.13 e 14 GDPR
  • nella redazione della DPIA

La contitolarità nel GDPR: i considerando

Per quanto riguarda la definizione dell’ambito delle proprie responsabilità, per comprendere meglio il GDPR è necessaria una lettura integrata degli articoli con i considerando. In questo caso, l’art. 26 va letto congiuntamente al considerando n.79 del Regolamento, il quale introduce il concetto di ripartizione delle responsabilità non solo nel caso classico titolare-responsabile ma anche nel caso in esame.

Inoltre, L’EDPB chiarisce che in caso di contitolarità, le responsabilità tra i contitolari coinvolti nel trattamento possono essere diverse l’uno dall’altro proprio a seconda della responsabilità assunta nell’accordo interno di contitolarità.

La normativa prevede altri obblighi, vediamoli insieme.

Altri obblighi in capo ai titolari previsti dalla normativa:

  • Dovrà essere resa disponibile agli interessati, una sintesi essenziale dell’accordo, ciò anche in ottemperanza al principio di trasparenza.
  • L’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun titolare, indipendentemente dalle previsioni dell’accordo tra i diversi contitolari!

Possiamo quindi affermare, che per una corretta allocazione dei ruoli,  (così come è stato fatto dall’EDPB) l’analisi deve essere fatta in modo fattuale sulla base delle concrete circostanze. Ciò significa che l’esistenza di un rapporto di contitolarità non esclude che i singoli contitolari possano essere autonomi titolari per gli altri trattamenti che non svolgono in condivisione.

Esempio di suddivisione di responsabilità nel caso di un sistema di video sorveglianza utilizzata da 5 contitolari.

Contitolarità nel GDPR: le sentenze della Corte di Giustizia Europea 

A chiarire ulteriormente la difficile allocazione dei ruoli è intervenuta la Corte di Giustizia Europea, con ben due decisioni.

Con la causa C-210/16 Wirtschaftsakademie, la Corte ha stabilito che gli amministratori di fanpage di Facebook sono considerati contitolari assieme a Facebook del trattamento, poichè possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, impostando parametri e obiettivi volti a creare le statistiche e pubblicare inserzioni pubblicitarie. Gli amministratori delle fanpage in altri termini, partecipano alla determinazione delle finalità e dei mezzi del trattamento.

nella causa C‑40/17, Fashion ID c. Verbraucherzentrale viene stabilito che il gestore di un sito internet, che inserisce al suo interno un plugin di terze parti come, ad emepio, il tasto like di facebook o il tasto segui di twitter, può essere ritenuto contitolare dell’eventuale trattamento effettuato dallo stesso.

In entrambe le decisioni, secondo la Corte, elemento essenziale è l’unità delle medesime finalità. Entrambi le parti, infatti, concorrono al medesimo trattamento svolto per finalità commerciali e pubblicitarie. Quindi, anche se le specifiche finalità dei trattamenti condotti dai due titolari potrebbero ad una prima analisi risultare non identiche, bisogna, ancora una volta, analizzare le situazioni in concreto.