Regolamento - 27/04/2016 - n. 679 art. 26 - Contitolari del trattamento

Nozione di contitolarità

 

Distinzione tra titolare (contitolare) e responsabile del trattamento

L'articolo in commento stabilisce che, ove due o più titolari determinino congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari.

La nozione di contitolare, altresì, è desumibile anche dalla definizione di titolare di cui all'art. 4 GDPR, per cui è tale la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento singolarmente o “insieme ad altri”.

Il responsabile de trattamento, invece, definito dal successivo art. 28 GDPR, è un soggetto distinto dal titolare che tratta i dati “per conto” di quest'ultimo, su suo mandato, servendo i suoi interessi e attuando le sue istruzioni.

La categorizzazione di un determinato soggetto quale titolare o responsabile comporta una diversa allocazione delle responsabilità.

Occorre quindi soffermarsi sul concetto di “determinazione delle finalità e dei mezzi”, che qualifica anche il soggetto “titolare”, e sulla distinzione tra “titolare” (o “contitolare”) e la diversa figura del “responsabile”, anticipando alcune riflessioni attinenti al ruolo di quest'ultimo. A tal proposito, importanti chiarimenti erano già stati forniti nel parere 1/2010 del gruppo di lavoro dei Garanti europei (ex Working Party art. 29) con riferimento alle figure di “responsabile del trattamento” e “incaricato del trattamento” di cui alla dir. 95/46/CE (corrispondenti al “titolare del trattamento” e “responsabile del trattamento” degli allora vigenti artt. 28 e 29 cod. privacy A-R e dell'attuale art. 4GDPR). Successivamente, il gruppo dei Garanti Europei, nella nuova veste di European Data Protection Board, è nuovamente tornato sull'argomento con le linee guida 7/2020 sul concetto di titolare e responsabile.

In primo luogo è importante evidenziare che i ruoli privacy si configurano come concetti relativi e “funzionali”, che dipendono tipicamente dalle specifiche circostanze di fatto (cfr. EDPB, LG 07/2020 punto 12, ove si legge “Quelli di titolare del trattamento e di responsabile del trattamento sono concetti funzionali: mirano a ripartire le responsabilità in funzione dei ruoli effettivamente svolti.”).

Inoltre, le qualificazioni giuridiche dei soggetti attivi del trattamento dovrebbero conservare piena autonomia e indipendenza rispetto alle eventuali e ulteriori configurazioni esistenti in altri rami del diritto (Cfr. EDPB, LG 07/2020 punto 13, per cui “ I concetti di titolare del trattamento e di responsabile del trattamento sono altresì concetti autonomi, nel senso che, sebbene fonti giuridiche esterne possano contribuire all'individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell'UE in materia di protezione dei dati. Il concetto di titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto [...]”.

Infine, è necessario considerare che la verifica dei ruoli deve essere indipendente da un'attribuzione formale della competenza a determinare il trattamento o dai rapporti contrattuali in essere tra le parti, ovvero da come le stesse si siano auto-definite Il concetto è enfatizzato dalle linee guida, ove al punto 12 è ribadito che l'allocazione dei ruoli non è negoziabile tra le parti.

Difatti la designazione formale in alcuni casi potrebbe mancare, o non rispettare la realtà; e, in ogni caso, basarsi sulla configurazione contrattuale dei rapporti tra le parti significherebbe consentire alle stesse di attribuire le responsabilità nel modo per loro più conveniente. Al fine di determinare i ruoli, è sicuramente necessario esaminare le clausole contrattuali – in particolare quelle regolanti i rapporti sostanziali tra le parti (“extra-privacy”), inquadrabili, esse stesse, come elementi giuridico-fattuali da collegare alle valutazioni in materia di diritto della protezione dei dati personali – ma è bene osservare soprattutto la situazione concreta, verificando chi ha scelto di trattare i dati personali per propri fini, quale è la ragione del trattamento, chi l'ha iniziato.

Per quanto riguarda in particolare la nozione di titolare, l'EDPB distingue ed illustra i cinque e elementi che ne compongono letteralmente la definizione, ovvero: 1) la “persona fisica o giuridica, autorità pubblica, servizio, o altro organismo”; 2) l'attività di “determinare”; 3) il fatto di farlo “da solo o congiuntamente” (nel qual caso si configura, appunto, la contitolarità); 4) la finalità e i mezzi del trattamento di dati personali; 5) la necessità di un “trattamento di dati personali”

Quanto al primo elemento, si evidenzia come non ci siano limiti particolari al tipo di entità che può assumere il ruolo di titolare del trattamento: potrebbe essere un'organizzazione, ma anche un individuo oppure un gruppo di individui, anche se in concreto si tratta generalmente dell'entità in sé e non di individui all'interno della stessa (come, ad esempio, l'amministratore delegato). Anche nel caso in cui sia stato designato un soggetto specifico per garantire l'adempimento degli obblighi in materia di dati personali, questo soggetto non potrà essere qualificato come titolare del trattamento ma agirà per conto dell'ente.

L'EDPB aggiunge che deve essere considerata allo stesso modo anche l'ipotesi in cui un particolare dipartimento o unità organizzativa abbia la responsabilità operativa di assicurare la conformità per certe attività di trattamento: ciò non significa che il dipartimento o unità (piuttosto che l'organizzazione nel suo insieme) agisca quale titolare del trattamento. In linea di principio, si può presumere che qualsiasi trattamento di dati personali da parte dei dipendenti, e che avvenga nell'ambito delle attività di un'organizzazione, rientri nel controllo di quest'ultima. In circostanze eccezionali, tuttavia, può accadere che un dipendente decida di utilizzare i dati personali per i propri scopi, eccedendo così illecitamente rispetto all'autorizzazione che gli è stata conferita. È quindi dovere dell'organizzazione in qualità di titolare del trattamento assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l'informazione dei dipendenti, al fine di garantire il rispetto del GDPR.

Nel caso di gruppi di imprese, dovrà essere posta particolare attenzione nel verificare se le filiali agiscano quali titolari o responsabili, ad esempio in quanto trattano dati personali per conto della capogruppo (cfr. EDPB, 7/202, punto 10).

Il secondo elemento si riferisce all'influenza sul trattamento di dati personali, che il titolare del trattamento esercita mediante un potere di decisione caratterizzato da determinati elementi chiave. Le situazioni che generalmente danno luogo a questo tipo di controllo e influenza possono ricollegarsi o a specifiche previsioni di legge (es. nel caso in cui una norma attribuisca esplicitamente ad un soggetto la qualifica di titolare oppure imponga/attribuisca ad un determinato soggetto delle attività e dei doveri che comportano necessariamente la raccolta e il trattamento di dati personali) oppure a circostanze fattuali che comportino l'esercizio dell'influenza circa finalità e mezzi del trattamento, anche sulla base dei ruoli tradizionali (ad esempio il datore di lavoro sarà titolare del trattamento dei dati dei suoi dipendenti, l'associazione lo sarà con riferimento ai dati degli associati, e così via). Importante la precisazione per cui il ruolo di titolare non deriva dalla natura dell'entità che sta trattando i dati, ma dalle specifiche attività svolte in un determinato contesto.

La qualifica di titolare, inoltre, non viene meno per il fatto che lo stesso abbia deciso di acquistare un servizio preliminarmente definito in un certo modo da parte del fornitore/responsabile: il servizio deve infatti essere presentato al titolare in modo dettagliato, e quest'ultimo deve prendere la decisione finale di approvare il modo in cui il trattamento sia effettuato, nonché poter richiedere modifiche qualora necessario.

Quanto al terzo elemento, viene specificato che l'influenza su finalità e mezzi del trattamento può essere esercitata dal soggetto attivo da solo o congiuntamente ad altri (situazione che comporta, come esamineremoin seguito, la contitolarità).

Nel quarto requisito vengono illustrati i concetti di finalità e mezzi del trattamento, laddove per “finalità” del trattamento deve intendersi il risultato che si persegue, il “perché” del trattamento, mentre la nozione di “mezzi” si riferisce non solo agli strumenti del trattamento, ma più in generale al modo in cui lo stesso è effettuato, al “come” del trattamento, incluse le decisioni su quali dati trattare, i tempi di conservazione, la comunicazione degli stessi a terzi.

Il titolare deve necessariamente determinare le finalità e anche i mezzi del trattamento (almeno per la parte essenziale), mentre il responsabile non può in alcun caso determinare le finalità del trattamento, anche se potrà prendere decisioni sui mezzi e su come svolgere le operazioni di trattamento. A seconda del livello di influenza sulla determinazione di finalità e mezzi la parte assume la qualifica di titolare (o contitolare) ovvero responsabile. Come affermato dall'EDPB, la decisione sui mezzi ingloba sia aspetti tecnici e organizzativi che possono pacificamente essere affidati ad un responsabile (ad esempio, quale software utilizzare) sia elementi essenziali che tradizionalmente sono riservati al titolare (ad esempio, quali dati trattare, a chi consentire l'accesso).

Il criterio da seguire è quello per cui la determinazione delle finalità prevale su quella dei mezzi: mentre la prima implica sempre l'inquadramento come titolare, la determinazione dei mezzi comporta la qualifica di titolare solo ove abbia ad oggetto aspetti fondamentali. Gli aspetti tecnici e organizzativi, quindi, potrebbero anche essere delegati in toto al responsabile, a titolo esemplificativo in quanto titolare non ha una specializzazione adeguata o poiché preferisce non occupare in tale attività il proprio personale, senza che ciò faccia venir meno il suo ruolo di titolare e le responsabilità connesse.

Infine, ultimo elemento che caratterizza la titolarità del trattamento è che l'influenza esercitata dal titolare si esplichi su un trattamento di dati personali, che, ai sensi dell'art. 4 GDPR è definito come “qualsiasi operazione o insieme di operazioni” applicate a dati personali o insiemi di dati personali. Ne deriva che la titolarità può collegarsi anche ad una singola operazione di trattamento (oltre che ad un set di operazioni). Non è escluso, quindi, che lo stesso soggetto possa configurarsi per alcune operazioni di trattamento quale responsabile e per altre quale titolare o contitolare.

Il titolare o contitolare del trattamento, pertanto, si caratterizza per il potere decisionale su finalità e mezzi del trattamento.

Aspetto importante delle linee guida dell'EDPB è che viene ribadito quanto già anticipato nell'Opinion 1/2020 ovvero che, per potersi qualificare come titolare (o contitolare) il soggetto non deve avere necessariamente accesso ai dati.

Ad esempio, nel caso in cui un soggetto decida di esternalizzare un'attività ed eserciti comunque un'influenza sulla stessa, determinandone le finalità ed i mezzi essenziali del trattamento, e definendo i parametri essenziali del servizio, sarà comunque considerato titolare del trattamento, anche qualora non abbia mai accesso ai dati personali o riceva dal fornitore solo statistiche anonime o aggregate. Vedasi in proposito il punto 56 delle linee guida, concernente la sentenza della Corte di Giustizia Jehovah's witnesses, C-25/17: “Il fatto che una delle parti non abbia accesso ai dati personali trattati non è sufficiente per escludere la contitolarità del trattamento. Ad esempio, nella causa Testimoni di Geova la CGUE ha ritenuto che una comunità religiosa dovesse essere considerata titolare, insieme ai suoi membri praticanti la predicazione, del trattamento dei dati personali effettuato da questi ultimi nell'ambito della predicazione porta a porta. La CGUE ha ritenuto che non fosse necessario che la comunità avesse accesso ai dati in questione né stabilire che avesse fornito ai suoi membri linee guida o istruzioni scritte in relazione al trattamento di dati. La comunità ha partecipato alla determinazione delle finalità e dei mezzi organizzando e coordinando le attività dei propri membri, il che ha contribuito al perseguimento dell'obiettivo della stessa comunità dei Testimoni di Geova. Inoltre, la comunità era a conoscenza, a livello generale, del fatto che tale trattamento veniva effettuato al fine di diffondere il proprio credo”.

Il responsabile del trattamento, invece, si caratterizza sulla base degli elementi di seguito indicati:

1. essere un'entità separata e distinta rispetto al titolare del trattamento. Infatti la sua esistenza dipende da una decisione del titolare (che può scegliere se trattare i dati all'interno della propria organizzazione o se delegare l'attività ad una organizzazione esterna);

2. trattare i dati personali “per conto” del titolare del trattamento. Il responsabile agisce infatti secondo le istruzioni del titolare del trattamento, operando sotto la sua autorità e su sua delega. La liceità del trattamento eseguito dal responsabile è determinata dal mandato del titolare ed è limitata ai confini di questo. Ove il responsabile superi tali confini determinando finalità e mezzi del trattamento lo stesso assume, infatti, la qualifica di titolare.

Per approfondimenti vedasi commento all'art. 28 GDPR.

Definizione di contitolarità (contitolarità simmetrica e asimmetrica; decisioni convergenti)

Ove le finalità e i mezzi del trattamento siano determinati da un titolare insieme ad altri si verifica un'ipotesi di contitolarità.

Le nuove linee guida dell'EDPB dedicano ampi chiarimenti al concetto di contitolarità.

L'EDPB ha chiarito che l'espressione per cui le finalità e i mezzi del trattamento possono essere determinate dal titolare “congiuntamente ad altri” non va interpretata nel senso che la determinazione di finalità e mezzi del trattamento debba avvenire in eguale misura tra le parti (e che le stesse debbano quindi anche risponderne ugualmente), ma che la determinazione debba avvenire “non da solo”.

L'espressione comprende le varie combinazioni possibili, che riflettono la complessità dei rapporti ove spesso diversi soggetti intervengono in varie operazioni di trattamento, simultaneamente o in momenti successivi. Infatti, nel caso di una pluralità di soggetti che intervengono nel trattamento, la loro relazione può essere stretta, con condivisione di tutte le finalità e gli strumenti, oppure più distante, con condivisione solo delle finalità, o dei mezzi, o di una parte di essi (il riferimento alla determinazione congiunta delle finalità e dei mezzi non deve intendersi come cumulativo).

Nel primo caso, ove vi è una perfetta sovrapposizione delle finalità, si verifica una ipotesi di contitolarità simmetrica; nel secondo, ove la sovrapposizione è esclusivamente parziale, si ha una contitolarità asimmetrica.

Tale distinzione concettuale si basava sulle indicazioni dell'(ex) Gruppo di Lavoro Articolo 29 contenute nell'opinion 1/2010 ma sembra conservare validità anche sulla scorta delle linee guida dell'EDPB (cfr. punto 63:

“La contitolarità del trattamento prevede, inoltre, che due o più soggetti abbiano esercitato un'influenza sui mezzi del trattamento. Ciò non significa che, affinché sussista una contitolarità del trattamento, ciascun soggetto coinvolto debba in ogni caso determinarne tutti i mezzi. Di fatto, come chiarito dalla CGUE, soggetti diversi possono essere coinvolti in fasi diverse del trattamento e a livelli diversi. I diversi contitolari del trattamento possono pertanto determinare i mezzi del trattamento in misura diversa, a seconda di chi sia effettivamente in grado di effettuare tale determinazione”.).

Oltre a quanto sopra, le linee guida hanno anche introdotto una forma innovativa di partecipazione congiunta dei contitolari nella decisione ovvero il concetto di “decisioni convergenti”.

In particolare, in base all'EDPB, l'atto della determinazione delle finalità e dei mezzi del trattamento può assumere in concreto una duplice forma:

– quella della decisione comune (“common decision”), che presuppone la comune intenzione dei contitolari;

– quella delle decisioni convergenti (“converging decisions”), che ricorre, invece, nei casi più particolari ove i contributi decisionali dei contitolari risultino inscindibilmente connessi (“inexstricably linked”) l'uno all'altro e, cioè, complementari tra di loro nonché, al contempo, indissolubili e concretamente necessari per effettuare il trattamento (cfr. EDPB, Guidelines 07/2020 punto 55: “La situazione della partecipazione congiunta attraverso decisioni convergenti deriva in particolare dalla giurisprudenza della CGUE sul concetto di contitolari del trattamento. Le decisioni possono essere considerate convergenti sulle finalità e sui mezzi se si integrano a vicenda e se sono necessarie affinché il trattamento abbia luogo, in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. Occorre sottolineare che il concetto di decisioni convergenti va considerato in relazione alle finalità e ai mezzi del trattamento, ma non con riguardo ad altri aspetti del rapporto commerciale tra le parti. In tal senso, un criterio importante per individuare decisioni convergenti in questo ambito consiste nel verificare se il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti alle finalità e ai mezzi, nel senso che i trattamenti di ciascuna parte sono tra loro indissociabili, ovverosia indissolubilmente legati. La situazione in cui contitolari del trattamento agiscono sulla base di decisioni convergenti dovrebbe tuttavia essere distinta da quella del responsabile del trattamento, poiché quest'ultimo, pur partecipando all'esecuzione dello stesso, non tratta i dati per le proprie finalità ma per conto del relativo titolare”.

Il principale criterio cui affidarsi per valutare in concreto se effettivamente sussistano decisioni convergenti che possano giustificare una contitolarità è quello di verificare se il trattamento risulti o meno ancora possibile anche senza la partecipazione di uno dei contitolari alla fase decisionale e genetica del trattamento stesso (situazione diversa dall'ipotesi della partecipazione alla fase esecutiva del trattamento, che costituisce, invece, presupposto dell'acquisto della qualità di responsabile del trattamento ex art. 28 GDPR). Le linee guida sottolineano comunque che la nozione di decisioni convergenti deve essere considerata in relazione alle finalità e ai mezzi del trattamento ma non ad altri aspetti della relazione commerciale tra le parti (altrimenti tutti gli accordi commerciali implicherebbero decisioni convergenti come parte del processo attraverso il quale si raggiunge un accordo).

L'EDPB, nel presentare questa nuova categoria concettuale, richiama espressamente la giurisprudenza della Corte di Giustizia (cfr. C-210/16; C-25/17; C-40/17). Tali sentenze, seppur riferite al concetto di contitolarità di cui alla precedente direttiva 95/46/CE, sono comunque ritenute valide anche nel contesto del GDPR dal momento che gli elementi fondanti della definizione sono rimasti invariati.

In particolare, oltre al caso dei testimoni di Geova già citato, le linee guida richiamano anche la sentenza Fashion ID, C-40/17, dove la Corte ha ritenuto sussistere una ipotesi di contitolarità tra il titolare di un sito web che aveva incorporato un social plug-in nella sua pagina al fine di ottimizzare la pubblicità e la visibilità dei suoi prodotti, ed il fornitore del social plug-in stesso. È stata valorizzata infatti la circostanza che entrambe le parti traessero un beneficio dalla medesima operazione di trattamento e che fossero entrambe coinvolte nella determinazione di finalità e mezzi del trattamento, corrispondente all'interesse economico di entrambe.

Ancora, le linee guida citano la nota sentenza Wirtschaftsakademie, C-210/16. Il caso riguardava in particolare un ente di formazione che, nell'ambito della propria attività promozionale, gestiva una fanpage su Facebook (oggi “Meta”), utilizzando la specifica funzionalità “Facebook insights”, tramite la quale il social network raccoglie dati anonimi statistici relativi ai visitatori della pagina (attraverso cookies installati sui terminali dei soggetti, anche non utenti Facebook, che accedono alla pagina) e li invia al gestore della fanpage (che ha sottoscritto un contratto con clausole non modificabili). Ciò che veniva contestato, nella fattispecie, era che né il gestore della pagina né il fornitore del social network avevano fornito all'utente idonea informativa circa questo tipo di trattamento. La Corte di Giustizia è stata investita dal giudice tedesco della questione pregiudiziale volta a chiarire se l'amministratore della fanpage dovesse essere ritenuto responsabile della violazione della normativa a tutela dei dati personali per il fatto di essersi avvalso di tale social. La Corte, partendo dalla considerazione che la normativa mira a garantire un grado elevato di tutela delle libertà e dei diritti delle persone fisiche, ha interpretato estensivamente il ruolo di titolare del trattamento, ritenendo che, oltre alla titolarità del trattamento del fornitore del social network (su cui non si dubita, posto che determina finalità e strumenti del trattamento dei dati personali degli utenti visitatori delle pagine), sussistesse per il trattamento dei dati raccolti tramite i cookies anche una titolarità dell'amministratore della fanpage, che contribuisce a determinare le finalità e i mezzi del trattamento dei dati personali dei visitatori della suddetta pagina. In sostanza, la Corte, pur riconoscendo che il gestore della pagina aderisce passivamente alle condizioni d'utilizzo del fornitore, che includono anche la politica in materia di cookies, valorizza il fatto che è proprio la creazione della suddetta pagina a consentire al social network di posizionare i cookies sui computer dei visitatori, nonché il fatto che il gestore della fanpage ha comunque la possibilità di impostare alcuni parametri e filtri (quali le categorie del pubblico destinatario) che influiscono sul trattamento dei dati personali operato dal fornitore del social network, contribuendo al medesimo.

Al momento dell'emissione la sentenza è stata criticata dai commentatori (Riccio, cit., par. 7), in quanto la nozione di titolare è interpretata in modo eccessivamente estensivo, includendovi anche soggetti che, non potendo scegliere i mezzi del trattamento, predeterminati dal fornitore del servizio, abbiano comunque contribuito con le proprie scelte alla determinazione dell'area e dei parametri del servizio e del trattamento, e che ne beneficino a qualsiasi titolo. La citata dottrina criticava la decisione anche per il fatto che le informazioni trasmesse dal gestore del social a quello della fanpage sono dati anonimi, non ricollegabili all'utente, per cui non dovrebbe proprio configurarsi alcun trattamento di dati personali da parte dell'amministratore della pagina. Tuttavia, non sembra di questa opinione la Corte di Giustizia, che al paragrafo 38 della sentenza ha precisato che «se è vero che le statistiche sull'utenza stabilite da Facebook sono unicamente trasmesse all'amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookies installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali visitatori a siffatti fini statistici. In ogni caso, la dir. 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati»

.

Tuttavia, a parere della scrivente l'EDPB sembra porre un sigillo sulla questione, confermando e facendo proprio l'orientamento della Corte di Giustizia, non solo nelle linee guida 7/2020 ma anche nelle “Guidelines 8/2020 on targeting of social media users”.

Carattere sostanziale della contitolarità

Come visto sopra per l'attribuzione dei ruoli privacy in generale, anche al fine di determinare l'esistenza di una contitolarità del trattamento, l'approccio deve essere fattuale e sostanziale: pur essendo utile l'analisi dei rapporti contrattuali in essere, è necessario valutare se effettivamente vi sia una determinazione congiunta delle finalità mediante un'analisi caso per caso. Tale approccio è confermato dalle linee guida dell'EDPB n. 7/2020, dove al punto 69 si legge: “Non tutti i tipi di partenariato, cooperazione o collaborazione implicano la qualifica di contitolari del trattamento, in quanto è necessaria un'analisi caso per caso di ciascun trattamento in questione e del ruolo preciso svolto da ciascun soggetto in relazione a tale trattamento”.

Occorre sottolineare che comunque non si dovrebbe poter configurare una contitolarità meramente “capricciosa” e opportunistica, per il solo fatto che alcuni soggetti abbiano deciso di definirsi tali, in quanto vantaggioso a livello imprenditoriale, e abbiano formulato un accordo obiettivamente privo di causa fondante, laddove tale decisione non sia accompagnata da una sostanziale e necessaria comunanza delle finalità perseguite. Si pensi, ad esempio, a due fornitori di servizi completamente diversi e scollegati che si accordino per impostare una contitolarità meramente opportunistica, al solo fine di imporre ai clienti interessati la raccolta e condivisione dei loro dati, pur mancando ogni necessità della loro interazione congiunta. Una tale configurazione dei rapporti, anche qualora fossero correttamente regolamentati tutti gli adempimenti (ad esempio per la gestione dell'informativa ex art. 13 GDPR), potrebbe violare i principi di cui all'art. 5 GDPR, con particolare riferimento ai principi di correttezza, di minimizzazione e di limitazione delle finalità.

Pertanto, non è sufficiente a configurare la contitolarità la mera esistenza di un beneficio commerciale per entrambe le parti, qualora una delle entità coinvolte non persegua alcuna finalità propria. Vedasi in particolare le LG 7/2020, punto 62: “Se il soggetto coinvolto nel trattamento non persegue alcuna finalità propria in relazione allo stesso, ma viene semplicemente remunerato per i servizi prestati, esso agisce in qualità di responsabile del trattamento anziché di contitolare”.

È quindi indispensabile che l'apporto di ciascun titolare sia sostanzialmente orientato al conseguimento di una finalità oggettivamente e necessariamente congiunta, e non si configuri invece come inutile o del tutto superfluo.

In alcuni casi, potrà essere richiesto all'interprete un significativo sforzo per l'analisi e l'inquadramento in concreto di una fattispecie di sospetta contitolarità “capricciosa”; è giusto ricordare, difatti, che la libertà fondamentale d'impresa potrà ben condurre due o più contitolari a progettare soluzioni congiunte, originali e nuove – si pensi alle contitolarità strumentali intermedie di cui si parla infra paragrafi successivi – senza che queste debbano essere tacciate automaticamente di superfluità: in tal senso, si rivelerà determinante la chiarezza e trasparenza dell'offerta formulata preliminarmente agli interessati coinvolti, anche con riferimento alle informazioni rese ex art. 13 GDPR, al fine di salvaguardarne la piena consapevolezza e capacità di scelta.

Ciò posto, e ribadito che si dovranno evitare ipotesi di contitolarità opportunistica, merita evidenziare come la contitolarità si caratterizzi quale strumento in grado di dare rappresentazione a nuove iniziative economiche e nuovi modelli di business e, di conseguenza, quale forma di espressione della libertà di iniziativa economica riconosciuta dall'art. 41 della Costituzione e dall'art. 16 della Carta dei diritti fondamentali dell'Unione Europea. Non parrebbe peraltro ipotizzabile l'esperimento di un sindacato discrezionale da parte delle autorità di protezione dei dati personali relativamente alla meritevolezza delle sottostanti alleanze strategiche sul piano imprenditoriale (e dei relativi patti contrattuali – che sono le cause giuridiche della consequenziale impostazione di contitolarità) (cfr. Bolognini-Zipponi, 43).

Occorre sottolineare che nel caso di contitolarità non si verifica una automatica estensione a tutti i contitolari della finalità proprie di ciascuno, ma la contitolarità si limita alla sola parte di determinazione congiunta delle finalità, per cui in ciascun soggetto può coesistere una titolarità autonoma e una contitolarità a seconda dei rapporti considerati (Pelino, 137).

Ciò è confermato dalle LG 7/2020, punto 57, ove è chiarito che un determinato soggetto sarà qualificabile come contitolare unitamente agli altri solo limitatamente alle operazioni per cui determina, congiuntamente agli altri, finalità e mezzi del trattamento, mentre conserverà la qualifica di titolare autonomo per le eventuali operazioni che precedono o susseguono quelle condivise, di cui decida in autonomia finalità e mezzi. Inoltre, al punto 58 è specificato anche che l'esistenza di una contitolarità non comporta necessariamente una eguale responsabilità dei vari attori coinvolti: ciascuno potrebbe essere coinvolto in stadi diversi del trattamento e in diversi gradi, e pertantola responsabilità di ciascuno deve essere valutata con riferimento alle circostanze concrete.

Condivisione di mezzi e contitolarità strumentale intermedia

Oltre alla definizione congiunta delle finalità, per aversi contitolarità è anche necessario che due o più soggetti decidano congiuntamente i mezzi del trattamento. A tal proposito, l'EDPB chiarisce che non è necessario che entrambe le parti decidano tutti i mezzi del trattamento, ben potendo le parti esercitare la propria influenza a livelli diversi, a seconda di chi sia nella posizione d farlo.

A titolo esemplificativo, nelle linee guida 7/2020, al punto 64, è indicata l'ipotesi in cui sia una delle entità coinvolte a procurare i mezzi del trattamento e a metterli a disposizione dell'altra parte. In tal caso l'altro soggetto, che comunque decide di far uso di quei mezzi per un determinato trattamento di dati personali, con tale scelta partecipa alla decisione circa i mezzi del trattamento. Questo scenario si realizza ad esempio nel caso di piattaforme, tools standardizzati o altre infrastrutture che permettono a più soggetti di trattare i dati, e che sono state predisposte in un certo modo da una delle parti al fine di essere utilizzate anche dalle altre, che comunque possono decidere come impostarle (cfr. LG 7/2020 punto 65 ove si legge che “L'uso di un sistema tecnico già esistente non esclude la contitolarità del trattamento laddove gli utenti del sistema possano decidere in merito al trattamento dei dati personali da effettuare in tale contesto” e anche punto 67 “Inoltre, la scelta da parte di un soggetto di utilizzare per le proprie finalità uno strumento o un altro sistema sviluppato da altri per il trattamento di dati personali costituirà probabilmente una decisione congiunta sui mezzi di tale trattamento da parte dei soggetti in questione”). Il criterio distintivo da applicare in questi casi è il seguente: se il provider partecipa alla definizione delle finalità e dei mezzi del trattamento è un contitolare, altrimenti dovrà essere considerato un responsabile.

Dall'altro lato, l'uso di un sistema o di una infrastruttura comune non comporta in tutti i casi il configurarsi di una contitolarità, ove il trattamento di dati sia separabile e potrebbe essere svolto da una parte in assenza dell'altra (cfr. Lg 7/2020, punto 68 “È importante sottolineare che l'uso di un sistema o di un'infrastruttura comuni per il trattamento dei dati non comporterà in tutti i casi la contitolarità del trattamento da parte dei soggetti coinvolti, in particolare allorquando il trattamento da essi effettuato è scindibile e potrebbe essere eseguito da un soggetto senza l'intervento dell'altro, o se il fornitore è un responsabile del trattamento che non persegue una finalità propria”).

L'EDPB descrive l'esempio di operazioni di marketing realizzate in un gruppo societario mediante l'utilizzo del medesimo data base: se le società ricorrono allo stesso data base, presente sui server della capogruppo che funge da responsabile nei confronti delle altre società con riferimento allo storage dei dati, ma ciascuna società tratta i dati dei propri clienti, per le proprie finalità, decidendo autonomamente il periodo di conservazione e i profili di accesso e senza poter accedere ai dati delle altre, allora ciascuna società rimane titolare autonomo del trattamento dei dati dei propri clienti.

Ugualmente potrebbe verificarsi in ogni ipotesi in cui diversi titolari autonomi usino una comune infrastruttura: ad esempio se una società ha un data base e lo rende disponibile anche ad altre società per la gestione dei dati del personale, e tali società trattano i dati senza il coinvolgimento di quella che ha messo a disposizione lo strumento e per finalità che non sono condivise, allora la società che fornisce l'infrastruttura è da considerarsi responsabile del trattamento rispetto a quelle che la utilizzano, in quanto le operazioni di trattamento sono svolte per conto di queste e sulla base delle loro istruzioni.

I sopra citati chiarimenti confermano dunque la possibilità di configurare anche una contitolarità strumentale, relativa ad una finalità intermedia, che generalmente si verifica con la creazione di piattaforme per la gestione integrata dei dati. A parere di chi scrive, peraltro, questa ipotesi ben potrebbe essere classificata quale ipotesi di contitolarità per decisioni convergenti.

Un caso tipico, che era indicato nella precedente Opinion del Gruppo di lavoro 29, e che tuttavia non viene riportato nelle linee guida 7/2020, è rappresentato dai portali amministrativi in rete, che svolgono un ruolo di intermediazione tra i cittadini che richiedono i servizi e la Pubblica Amministrazione che li fornisce, e i cui documenti sono conservati nel portale. In tale situazione, infatti, ciascuna pubblica amministrazione rimane titolare del trattamento dei dati personali effettuato per finalità proprie, ma allo stesso tempo è contitolare per i trattamenti effettuati mediante il portale, con il quale le parti perseguono una finalità nuova e diversa da quella per cui i dati sono stati originariamente raccolti (la finalità comune è infatti quella di prestare servizi di amministrazione elettronica). La creazione del portale costituisce dunque una finalità intermedia, avente autonoma rilevanza, e una volta conseguita la stessa i contitolari utilizzeranno il portale stesso per il perseguimento di finalità proprie e autonome (diverse a seconda dei servizi resi).

Tale situazione non si realizza solo con riferimento alla creazione di piattaforme informatiche, ma, in generale, ogniqualvolta vi sia la creazione di un'infrastruttura aziendale (e quindi una condivisione di mezzi o personale) strumentale rispetto al conseguimento di fini ulteriori.

Si pensi, ad esempio, ad una convenzione tra un ospedale e un'università che comporti la presenza, all'interno di uno stesso laboratorio o reparto, di risorse appartenenti alle due distinte entità, che intervengono congiuntamente sul materiale e nelle prestazioni (e conseguentemente sui dati dei pazienti). In tal caso, qualora soltanto uno dei due soggetti sia anche beneficiario di un finanziamento per progetti di ricerca svolti nel medesimo laboratorio o reparto, si pone il problema se, per l'attività di trattamento inerente alla ricerca, debba configurarsi una contitolarità generale con l'altra entità, posto che necessariamente, in virtù della convenzione, l'attività di laboratorio comporta una condivisione di risorse e mezzi con un altro soggetto. Nella situazione appena esposta, la soluzione della contitolarità generale non potrà essere accettata, dal momento che i soggetti finanziatori avranno concesso una sovvenzione collegata ad uno specifico soggetto e solo relativamente a quest'ultimo sarà applicabile la finalità di ricerca (tant'è che, sovente, è previsto nei contratti di assegnazione di fondi per la ricerca il divieto di ricorrere ad altri soggetti sub-fornitori). In questo caso, considerando che l'organizzazione per la gestione del laboratorio è inevitabilmente congiunta per via della convenzione, come nel caso della contitolarità di piattaforma il rapporto sarà configurabile in termini di contitolarità intermedia e strumentale.

La convenzione tra ospedale e laboratorio, pertanto, rappresenterebbe un'attività che ha come finalità stessa la costituzione e il funzionamento del laboratorio (in senso strumentale, grazie alla condivisione di risorse strategiche), mediante il quale le singole entità realizzeranno poi finalità ulteriori e proprie in qualità di titolari autonomi.

Altro esempio nel mondo della ricerca è portato proprio dall'EDPB, che si riferisce ai casi di più istituzioni che partecipino ad un progetto comune di ricerca e che decidano di utilizzare la piattaforma (già esistente) di uno dei soggetti coinvolti: ciascuno dei soggetti inserisce i dati nella piattaforma per la finalità della ricerca comune e consulta i dati inseriti dagli altri per svolgere la ricerca. In tal caso, tutti i soggetti che partecipano alla ricerca ricoprono il ruolo di contitolari del trattamento con riferimento alle operazioni di inserimento dei dati e di comunicazione agli altri contitolari, in quanto hanno stabilito insieme finalità e mezzi (la piattaforma) del trattamento, mentre ciascuno continuerà ad essere titolare autonomo con riferimento alle operazioni svolte al di fuori della piattaforma per le proprie finalità.

Tipizzazione di alcune ipotesi di contitolarità

Ferma restando la necessità di valutare la contitolarità da un punto di vista fattuale, l'EDPB fornisce una serie di esempi e ipotesi, nonché di elementi fattuali da valutare.

Un primo caso, già presente nell'Opinion 1/2010, è quello dell'agenzia di viaggi che debba comunicare i dati dei propri clienti alla compagnia aerea e all'hotel per finalizzare la prenotazione di un “pacchetto viaggio”: in tale ipotesi non si realizza una condivisione di finalità o mezzi in operazioni comuni e quindi si configura un semplice trasferimento di dati tra titolari autonomi. Qualora, tuttavia, agenzia di viaggi, hotel e compagnia area decidano di costituire una piattaforma unitaria per migliorare la cooperazione nelle prenotazioni, decidendo insieme quali dati conservare, per quanto tempo, e con quali modalità, allora saranno contitolari del trattamento relativamente ai dati dell'infrastruttura.

Altra ipotesi è quella di iniziativa comune di marketing, citata dalle LG 7/2020 al punto 21. In particolare, si tratta del caso in cui due distinte società debbano lanciare un prodotto a marchio comune e che decidano di organizzare un evento per promuoverlo: ciascuna delle società stabilisce di condividere con l'altra i dati dei propri clienti e le parti definiscono insieme la lista degli invitati, le modalità di invio degli inviti, le modalità di raccolta dei feedback e le iniziative di marketing susseguenti. In tal caso le parti sono senz'altro contitolari riguardo al trattamento dei dati relativo all'organizzazione dell'evento.

Altro esempio è quello della società di selezione del personale. In particolare, ove la società che fornisce il servizio provveda alla ricerca dei candidati idonei sia sulla base dei curricula ricevuti dalla società committente, sia sulla base di quelli inseriti nella propria banca dati, al fine di aumentare l'incontro tra domanda e offerta, dovrà essere considerata come contitolare del trattamento unitamente alla società che ricorre ai servizi di assunzione, per gli insiemi di operazioni relativi alle selezioni di quest'ultima. Infatti, come chiarito dall'EDPB, anche se le due società non hanno formalmente assunto una decisione congiunta, le stesse comunque partecipano congiuntamente al trattamento per la finalità di trovare candidati adatti al ruolo, sulla base di decisioni convergenti: la decisione della società di selezione del personale di fornire un servizio specifico e quella della società committente di arricchire il data base con i CV che riceve direttamente. Tali decisioni sono complementari e necessarie al fine di raggiungere lo scopo comune. La società committente sarà comunque titolare autonomo rispetto ai trattamenti necessari per addivenire all'assunzione, mentre la società di selezione del personale lo sarà con riferimento alle operazioni di trattamento necessarie alla gestione del proprio data base.

Ancora, viene proposto il caso di società che forniscano analisi mediche, ad esempio nell'ipotesi di partnership tra una società sviluppatrice di un'applicazione per il monitoraggio della pressione sanguigna ed altra società fornitrice di applicazioni per professionisti medici, che desiderino esaminare come i cambiamenti della pressione sanguigna possano aiutare a prevedere alcune malattie. In tale ipotesi, se le società decidessero di istituire un progetto comune, coinvolgendo anche un ospedale, relativamente ai dati personali trattati dalle tre entità come titolari autonomi, le società sarebbero comunque contitolari, in quanto determinerebbero congiuntamente le finalità del trattamento. La qualifica non verrebbe meno nel caso in cui una delle società proponesse anche i mezzi essenziali del trattamento e le altre entità, dopo essere state coinvolte nello sviluppo di alcune caratteristiche dell'applicazione, li accettassero. Ciò che deve essere valorizzato in questo caso, infatti, è lo scopo comune delle tre entità (valutare come i cambiamenti della pressione sanguigna possono aiutare a prevedere alcune malattie). Nel caso in cui invece una delle entità venisse semplicemente incaricata dalle altre di eseguire la valutazione, senza avere alcuno scopo proprio, ed elaborasse i dati per conto delle altre, la stessa si qualificherebbe come responsabile del trattamento, anche se le venisse affidata la determinazione dei mezzi non essenziali.

L'EDPB si è pronunciato anche sul caso delle sperimentazioni cliniche.

Del tema si era occupato anche il Garante italiano nel provvedimento del 2008 sul trattamento di dati personali nel contesto delle sperimentazioni.Il Garante, in particolare, aveva identificato in termini di contitolarità il rapporto tra promotori e centri di sperimentazione. Le ricerche vengono generalmente promosse da una società farmaceutica (sponsor o committente) e realizzate presso strutture ospedaliere o universitarie ovvero centri di ricerca pubblici e privati (centri di ricerca). Il provvedimento evidenzia innanzitutto le attività svolte dal promotore: identificare e selezionare i possibili centri partecipanti, verificandone l'idoneità; predisporre il protocollo della sperimentazione che dovrà essere osservato dai centri stessi; impartire ai centri di ricerca le direttive sul trattamento dei dati; verificare mediante i propri collaboratori l'osservanza del protocollo. Inoltre il promotore, seppur non effettui alcuna raccolta dei dati personali (attività rimessa ai centri) vi ha comunque accesso in determinate circostanze (quali la segnalazione di reazioni avverse, la lavorazione e validazione dei dati, i controlli tramite i propri collaboratori addetti al monitoraggio). Dall'altra parte, il centro di ricerca non è in posizione di subordinazione rispetto al promotore, in quanto esegue la sperimentazione con autonomia organizzativa, accetta il protocollo concordandolo con il promotore e si avvale di collaboratori che sceglie liberamente, di cui risponde. Ne deriva che “i singoli centri di sperimentazione e promotori hanno in genere responsabilità distinte nell'ambito degli studi clinici e si configurano, quindi, quali autonomi titolari, o, a seconda dei casi, contitolari del trattamento” (GPDP, 24 luglio 2008, [doc. web 1533155], punto 7).

L'EDPB, nelle line guida, affronta il diverso tema del ruolo del medico sperimentatore (cd “Principal Investigator”) e distingue due casi: se il medico collabora con lo sponsor (università o centro) nella redazione del protocollo di studio, allora medico e centro sono inquadrati come contitolari (fermo restando che è necessario distinguere tra la raccolta di dati dalle cartelle per finalità di ricerca ed il trattamento dei dati del paziente per finalità di cura, per cui il medico rimane titolare autonomo); se invece il medico si limita ad accettare il protocollo elaborato dallo sponsor, allora deve essere considerato quale responsabile dello sponsor con riferimento al trattamento di dati relativo alla sperimentazione.

In questo caso, ad avviso di chi scrive, la qualificazione attuata potrebbe nei fatti ridurre il livello di tutela del paziente: nella pratica, infatti, lo sponsor non ha controllo sull'investigator, che opera nel centro e che meglio sarebbe stato configurato come responsabile del trattamento di quest'ultimo. Inoltre, si evidenzia come l'esempio lasci aperto il tema della qualificazione del centro, su cui i vari orientamenti e prassi a livello europeo differiscono notevolmente (mentre in Italia, infatti, si tende a qualificare il centro di sperimentazione quale autonomo titolare del trattamento o contitolare, in altri Paesi lo stesso viene identificato quale responsabile del trattamento da designarsi da parte dello sponsor).

Ulteriore aspetto innovativo è introdotto dall'EDPB nelle “Guidelines 8/2020 on targeting of social media users”, che individuano quattro diverse ipotesi di contitolarità tra il social media provider ed il “targeter” (colui che ricorre ai servizi di social media per indirizzare specifici messaggi ad un pubblico definito sulla base di specifici parametri e criteri), prevedendo una serie di esempi pratici. In primo luogo, viene indicata l'ipotesi in cui i dati personali siano forniti direttamente dall'utilizzatore al social media provider, ed il targeter richieda a quest'ultimo la visualizzazione del proprio annuncio pubblicitario da parte di un determinato pubblico (audience) selezionato (“pubblicità mirata”). In tal caso le linee guida confermano che sussiste una contitolarità tra i due soggetti e chiariscono che la partecipazione degli stessi nella definizione della finalità è rappresentata dal risultato a cui entrambi mirano (ossia la visualizzazione del messaggio pubblicitario da parte dell'audience selezionata). Quanto alla decisione circa i mezzi, il targeter vi partecipa scegliendo di utilizzare il servizio offerto dal provider e stabilendo l'audience sulla base di specifici criteri (età, status, orario di visualizzazione del messaggio). Dall'altro lato, il provider del social media sviluppa i criteri da rendere disponibili ai clienti e in tal modo assume decisioni certe sui mezzi del trattamento (quali categorie di dati trattare, chi avrà accesso ai dati nel contesto di una specifica campagna). La contitolarità tra i due sarebbe comunque limitata a quella parte di trattamento per la quale effettivamente abbiano co-deciso i mezzi e le finalità: il trattamento di dati personali risultanti dall'applicazione dei criteri di targeting e la comunicazione del messaggio all'audience selezionata, oltre che il trattamento effettuato dal provider per generare il report sulla campagna pubblicitaria. Non si estenderebbe, invece, ai trattamenti che avvengano prima dell'applicazione dei criteri di targeting o dopo che l'operazione sia stata conclusa. Viene inoltre ribadito che la contitolarità si applica anche nel caso in cui il targeter non abbia accesso ai dati personali, non trattandosi di requisito essenziale. La seconda ipotesi presa in considerazione dall'EDPB è quella in cui siano trattati i dati forniti dall'utente direttamente al targeter (ad esempio allorché vengano utilizzate liste già nella disposizione del targeter e successivamente fornite al social media provider e incrociate con i dati a sua disposizione per creare l'audience). In tal caso il targeter determina finalità e mezzi del trattamento raccogliendo i dati, trattandoli e trasmettendoli al social media provider, mentre il fornitore decide di usare i dati forniti dall'utente al fine di consentire l'invio della pubblicità mirata ad una determinata audience. Sarebbe quindi ravvisabile una contitolarità limitatamente alle operazioni di trattamento per le quali vi sia una co-decisione: l'utilizzo degli identificativi per creare l'audience, la selezione dei criteri di targeting, la visualizzazione dell'annuncio pubblicitario, i report relativi alla campagna. In tale ipotesi la contitolarità inizia con la trasmissione del dato personale al provider, che lo raccoglie per mostrare l'annuncio, e termina con la cancellazione dei dati da parte dello stesso (Il targeter è invece autonomo titolare del trattamento consistente nella raccolta dei dati, a monte). Infine, l'EDPB prende in considerazione il caso dei dati generati dall'utilizzo dei servizi (quali i dati pubblicati dall'utente stesso sul social media oppure derivanti dall'utilizzo di siti web di terzi) e dei dati risultanti da incroci e collegamenti effettuati dal social media provider o dal targeter (sulla base dei dati forniti direttamente dall'utente o generati dallo stesso).

Anche in queste ipotesi, viene confermata una contitolarità tra i due soggetti limitatamente alla definizione dei criteri di targeting, la visualizzazione dell'annuncio ed i report. Per ulteriori riflessioni su contitolarità e social media targeting si rinvia a Bolognini-Zipponi, cit., 43 ss.

Per quanto riguarda, invece, la giurisprudenza italiana un caso di contitolarità è stato individuato in riferimento alla Centrale di allarme interbancaria (CAI), istituita dall'art. 10-bis della l. n. 386/1990 (modificata dal d.lgs n. 507/1999), che ha lo scopo di raccogliere le informazioni relative ai mancati pagamenti di assegni bancari, al fine di informare gli operatori. In tal caso, la giurisprudenza ha stabilito che “i contitolari del trattamento sono, per i dati inseriti nella sezione centrale, la Banca d'Italia, sebbene questa si avvalga per la loro gestione di un ente esterno che assume la qualità di responsabile dei dati, nonché, per quelli inseriti nelle sezioni remote, i singoli istituti segnalanti” (Cass. n. 6927/2016).

Per i gruppi societari, è generalmente da escludersi la configurazione dei rapporti reciproci in termini di contitolarità. Le società del gruppo si qualificano come responsabili esterni, nei casi in cui prestino servizi in modo centralizzato per le altre società (si pensi, ad esempio, all'ipotesi classica della capogruppo che fornisca servizi attinenti alla gestione delle risorse umane o servizi informatici per tutte le società del gruppo, sulla base di apposito contratto intercompany), ovvero, qualora vi siano comunicazioni di dati per finalità amministrative, quali titolari autonomi. In tal senso, è da escludersi che il Considerando 48 GDPR (ove prevede che i titolari del trattamento facenti parte di un gruppo imprenditoriale o di altri enti collegati a un organismo centrale, possano avere interesse alla trasmissione dei dati all'interno del gruppo per fini amministrativi interni, compreso il trattamento dei dati personali dei clienti e dei dipendenti) abbia inteso prevedere una ipotesi di contitolarità, ritenendosi piuttosto a parere di chi scrive che si riferisca ad una comunicazione di dati personali tra titolari autonomi.

Con riferimento alla disciplina previgente, il Garante italiano ha configurato in termini di contitolarità anche il rapporto tra la banca e la società che fornisce il servizio di firma digitale remota grafometrica, con riferimento al trattamento dei dati biometrici degli utenti.

Il provvedimento evidenzia come la banca determini le finalità e le modalità del trattamento: è la stessa i) a richiedere nel proprio interesse l'erogazione del servizio, concretamente fornito dal fornitore, a vantaggio dei firmatari; ii) a stabilire i confini di utilizzabilità del servizio (che, a titolo esemplificativo, viene limitato a certa modulistica bancaria); iii) a decidere, in coerenza con i requisiti dell'ente certificatore, le modalità del trattamento e le misure di sicurezza; iv) a determinare, concordemente con l'ente certificatore, le procedure per l'identificazione dei firmatari. Inoltre, la banca vanterebbe poteri di controllo e verifica in merito alle prestazioni erogate dall'autorità di certificazione. Dall'altro lato, anche il fornitore del servizio determina, in armonia con le esigenze dalla banca, le finalità e le modalità del trattamento, rapportandole alla gestione del complessivo servizio di firma digitale fornito. Il fornitore, inoltre, definisce gli standard tecnici e organizzativi della procedura di autenticazione; concorda le procedure per l'identificazione dei firmatari; apporta sulle modalità di erogazione del servizio le eventuali modifiche richieste dall'evoluzione tecnologica e normativa; adotta, nell'ambito del complessivo servizio di sottoscrizione con firma digitale, le misure di sicurezza di cui alla normativa di settore.

Alla luce di quanto sopra, al Garante «appare arduo, nel caso di specie, ipotizzare due distinti trattamenti di dati biometrici”, in capo alla banca e al fornitore, “dovendo piuttosto ritenersi, anche in vista di un più agevole esercizio dei diritti” che le società coinvolte “ancorché operanti in sequenza, pongano in essere – nell'ambito di un servizio definito “omogeneo” dalla stesse parti istanti-operazioni differenti di un unico trattamento preordinato all'autenticazione degli interessati, avvalendosi a tal fine di strumenti stabiliti congiuntamente (e operanti in forma “integrata”) e rispondendo del medesimo trattamento solo per la parte di competenza» (GPDP, 23 gennaio 2014 [web n. 2938921]).

Nonostante il Garante stesso abbia recentemente citato il suddetto provvedimento tra i casi in cui è stata riconosciuta la contitolarità del trattamento (vedasi parere del 22 gennaio 2019 avente ad oggetto il ruolo dei consulenti del lavoro), circostanza che depone a favore delle valenza dello stesso anche post GDPR, a parere della scrivente c'è da interrogarsi se la configurazione dei rapporti in termini di contitolarità possa ancora ritenersi valida alla luce della nuova disciplina e dell'evolversi della tecnologia, nonché della standardizzazione dei servizi di firma digitale grafometrica e delle misure di sicurezza fornite. Non è da escludersi, infatti, a parere della scrivente, che il fornitore del servizio possa essere designato quale responsabile del trattamento ai sensi dell'art. 28 GDPR.

Nel caso di servizi di propaganda elettorale e comunicazione politica curati da soggetti terzi, il Garante ha chiarito che “è ravvisabile la contitolarità quando il terzo, oltre a provvedere direttamente all'invio delle comunicazioni, utilizzi basi di dati in suo possesso e/o comunque quando lo stesso abbia, congiuntamente ai titolari di cui sopra, potere decisionale sulle finalità e i mezzi del relativo trattamento”, specificando altresì che “in tal caso partiti, movimenti politici, comitati di promotori e sostenitori, nonché singoli candidati, sono comunque tenuti ad effettuare le verifiche di cui sopra anche in presenza dell'attestazione, da parte dei terzi in questione, riguardo all'esatto adempimento degli obblighi vigenti in materia (in particolare, quelli relativi all'informativa e al consenso)”. Qualora, invece, il terzo effettui il trattamento per conto del titolare, e non abbia alcun potere decisionale sulle finalità e sui mezzi del trattamento, allora lo stesso agisce in qualità di responsabile (GPDP, Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019 doc. web. 9105201)

Accordo di contitolarità

 

Contenuto dell'accordo

Mentre la direttiva si limitava a definire la figura dei contitolari, senza prevedere obblighi specifici per gli stessi, o una regolamentazione delle rispettive responsabilità, il Regolamento ha significativamente innovato la disciplina, prevedendo, all'art. 26 par. 2, che i contitolari debbano stipulare un accordo interno al fine di determinare in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi del Regolamento e di riflettere in modo adeguato i rispettivi ruoli, nonché i rapporti con gli interessati.

Quanto al contenuto dell'accordo tra contitolari, la norma prevede che debbano essere disciplinate le responsabilità dei contitolari in merito agli obblighi derivanti dal Regolamento. Potranno quindi, a mero titolo esemplificativo e non esaustivo, essere disciplinati nell'accordo: l'obbligo reciproco di comunicare all'altro contitolare eventuali violazioni di dati personali ai sensi dell'art. 33 GDPR, al fine di effettuare la notifica all'autorità di controllo, stabilendo un termine per tale comunicazione; l'obbligo di rispettare i principi di cui all'art. 5 ed i tempi di conservazione dei dati; l'obbligo di istruire il personale che accede ai dati trattati in contitolarità (eventualmente predisponendo un atto di autorizzazione al trattamento congiunto o definendo congiuntamente contenuti e modalità delle attività di formazione); l'eventuale divieto di trasferire i dati personali all'estero, o le modalità del trasferimento; le specifiche misure di sicurezza da attuare ai sensi dell'art. 32 GDPR e la base giuridica del trattamento; gli obblighi in materia di valutazione di impatto ai sensi dell'art. 35 GDPR, nonché il ricorso a responsabili del trattamento ai sensi dell'art. 28 GDPR; l'organizzazione dei contatti con gli interessati e con le autorità di controllo; la limitazione all'uso dei dati per una finalità diversa da parte dei contitolari.

Anche le linee guida 7/2020 dell'EDPB confermano che lo scopo dell'accordo è quello di evitare che il coinvolgimento di più attori, specie nel contesto di attività di trattamento complesse, comporti un abbassamento del livello di protezione dei dati personali o determini un conflitto negativo di competenze con la mancata allocazione di alcune obbligazioni. La distribuzione delle responsabilità tra i contitolari non dovrà limitarsi pertanto a quanto indicato nell'art. 26 ma dovrà riferirsi a tutti gli obblighi previsti dal GDPR.

È comunque consentita una certa flessibilità nella distribuzione delle responsabilità, che non devono essere uguali per il semplice fatto dell'esistenza della contitolarità (cfr. EDPB, LG 7/2020, punto 168 “I contitolari del trattamento possono disporre di un certo grado di flessibilità nella distribuzione e nella ripartizione degli obblighi rispettivi, a condizione che garantiscano la piena conformità al GDPR per quanto concerne il trattamento in questione. Tale ripartizione dovrebbe tenere conto di fattori quali, ad esempio, chi è competente per e in grado di garantire efficacemente i diritti dell'interessato ovvero di rispettare gli obblighi pertinenti di cui al GDPR”).

Ai sensi della norma, l'accordo deve avere particolare riguardo all'esercizio dei diritti dell'interessato, e alla comunicazione delle informazioni previste dagli artt. 13 e 14 GDPR.

Difatti, le parti potrebbero stabilire che sia solamente uno dei contitolari a fornire l'informativa agli interessati (si pensi, ad esempio ad una infrastruttura comune, ove sarà il gestore effettivo della piattaforma a garantire la pubblicazione dell'informativa sulla stessa). Questo aspetto è confermato anche dalle linee guida dell'EDPB (cfr. LG 7/2020, punto 178: “La modalità di adempimento di tali obblighi come definita nell'accordo dovrebbe riflettere «adeguatamente», ossia accuratamente, la realtà del trattamento congiunto. Ad esempio, se soltanto uno dei contitolari comunica con gli interessati ai fini del trattamento congiunto, tale contitolare potrebbe essere in una posizione migliore per informare gli interessati ed eventualmente rispondere” alle loro richieste.”).

Inoltre, l'EDPB suggerisce che l'accordo contenga anche informazioni generali circa il trattamento di dati e specifichi oggetto e finalità del trattamento, nonché categorie di interessati edati trattati.

Quanto alla designazione di un punto di contatto unico per l'esercizio dei diritti degli interessati, l'EDPB nelle linee guida, pur riconoscendone il carattere non obbligatorio, ne raccomanda la designazione, in quanto si tratta di un adempimento che facilita l'esercizio dei diritti degli interessati e favorisce il coordinamento tra i contitolari. Il punto di contatto potrebbe essere il DPO, il rappresentante nell'Unione Europea (per i titolari del trattamento extra UE) o altro referente che sia in grado di fornire le informazioni.

Indipendentemente dall'accordo tra i contitolari, gli interessati possono comunque esercitare i loro diritti nei confronti di ciascuno dei contitolari. È quindi necessario che l'accordo specifichi come i contitolari gestiranno le richieste di esercizio dei diritti, e che preveda l'obbligo per ciascuno di comunicare le richieste ricevute all'altro o al contact point designato.

Qualunque sia l'accordo preso a tal fine dagli interessati, è molto importante che le informative contengano l'indicazione delle modalità con le quali gli interessati possono esercitare, nei confronti dei contitolari del trattamento, i diritti di cui agli artt. da 15 a 22 del Regolamento (GPDP, 11 novembre 2021 doc. web. 9736936).

Nell'applicazione del par. 3 dell'articolo in esame, per cui l'interessato può esercitare i diritti nei confronti di e contro ciascuno dei contitolari, indipendentemente dall'accordo, dovrà dunque tenersi conto del fatto che non tutti i diritti sono esercitabili verso tutti i contitolari.

Infatti si evidenzia che nei casi di contitolarità, pur essendo necessaria la comunanza di finalità e mezzi del trattamento, si ritiene invece possibile che le basi giuridiche ed i criteri di liceità riferiti a ciascun contitolare siano differenti. Si pensi ad un caso di contitolarità strumentale di piattaforma, a cui partecipino soggetti pubblici e privati. In tal caso, il soggetto pubblico potrebbe basare il trattamento sul criterio di liceità di cui all'art. 6 lett. c) o e) (obbligo di legge o interesse pubblico), mentre i soggetti privati potrebbero agire sulla base di altri criteri, quali quelli dell'art. 6, lett. b) o f) (esecuzione di un contratto o legittimo interesse). In tal caso, la diversa base giuridica avrebbe conseguenze anche per quanto concerne l'esercizio dei diritti (ad esempio il diritto di opposizione sarà esercitabile solo nei confronti del contitolare che tratti i dati per legittimo interesse, il diritto alla portabilità sarà escluso per il contitolare che basi il trattamento sull'interesse pubblico, e così via).

Con riferimento a questo aspetto, tuttavia, occorre considerare che l'EDPB sconsiglia ai contitolari di ricorrere a basi giuridiche differenti, pur non escludendolo (vedasi, in particolare, la nota 73 delle linee guida 7/2020: “Sebbene il GDPR non impedisca ai contitolari del trattamento di avvalersi di una base giuridica diversa per i vari trattamenti da essi effettuati, si raccomanda di utilizzare, ove possibile, la stessa base giuridica per una finalità specifica.”).

Forma e pubblicità dell'accordo

La norma in commento nulla dispone in merito alla forma dell'accordo, per cui alcuni ritengono che, vista la previsione di sanzioni, debba essere adottata la forma scritta (Salvati, 260). Tale interpretazione è coerente con la previsione dell'articolo secondo cui l'accordo deve essere messo a disposizione dell'interessato.

Le linee guida dell'EDPB precisano che dovrà trattarsi comunque di un accordo vincolante, in conformità ai principi di trasparenza e di responsabilizzazione (cfr. LG 7/2020, punto 173: “Pertanto, ai fini della certezza del diritto, sebbene il GDPR non preveda requisiti giuridici relativi a un contratto o a un altro atto giuridico, l'EDPB raccomanda che tale accordo sia concluso sotto forma di documento vincolante, quale un contratto o un altro atto giuridico vincolante, ai sensi del diritto dell'UE o degli Stati membri cui i titolari del trattamento sono soggetti. Ciò garantirebbe certezza e potrebbe essere utilizzato per dimostrare il rispetto degli obblighi di trasparenza e responsabilizzazione. Di fatto, in caso di mancato rispetto della ripartizione concordata previstadall'accordo, la natura vincolante di quest'ultimo consente a un titolare del trattamento di invocare la responsabilità dell'altro per quanto indicato nell'accordo come rientrante nella responsabilità di tale altro contitolare. Inoltre, in linea con il principio di responsabilizzazione, il ricorso a un contratto o altro atto giuridico consente ai contitolari del trattamento di dimostrare il rispetto degli obblighi imposti loro dal GDPR”).

Quanto alla pubblicità, in attuazione del principio di trasparenza, l'art. 26 par. 2 richiede che il contenuto essenziale dell'accordo sia messo a disposizione dell'interessato, senza indicarne le modalità. Si ritiene che lo stesso debba essere già reso noto all'interessato nell'ambito dell'informativa di cui all'art 13 GDPR, e successivamente in caso di accesso ai sensi dell'art. 15 GDPR. Agli interessati dovrebbero inoltre essere rese note le successive modifiche dell'accordo ove riguardino il contenuto essenziale dello stesso e incidano sull'interessato, ad esempio per quanto riguarda il profilo dell'esercizio dei diritti (Pelino, 139).

Alcuni autori suggeriscono di pubblicare un estratto dell'accordo sul sito internet dei contitolari (Voigt Von Dem Bussche come citato da, Salvati, 260).

La scrivente ritiene di discostarsi da tale interpretazione, in considerazione di una interpretazione più aderente alla lettera della norma, che fa semplicemente riferimento alla “messa a disposizione” dell'accordo, senza richiedere una pubblicazione, e considerato che quest'ultima, specie se su sito web, avrebbe un pubblico di destinatari ben più ampio degli interessati – con possibile pregiudizio alla riservatezza degli accordi, anche commerciali, vigenti tra i diversi contitolari. Se è vero, infatti, che sul sito dovrebbero essere pubblicati esclusivamente i contenuti essenziali dell'accordo che siano rilevanti per gli interessati, ciò non toglie che l'esistenza stessa dell'accordo, a seconda delle circostanze, potrebbe configurarsi come riservata per i contitolari, che potrebbero avere interesse a escluderne la conoscenza da parte di soggetti diversi dagli interessati. Pertanto, a parere di chi scrive, l'accordo potrebbe essere semplicemente reso noto agli interessati nell'informativa e messo a disposizione degli stessi, quanto al contenuto, su loro richiesta.

Peraltro anche linee guida dell'EDPB riconoscono che, dal momento che l'art. 26 non specifica requisiti formali come invece altre norme, i contitolari sono liberi di scegliere la modalità più efficace per mettere a disposizione degli interessati i contenuti essenziali dell'accordo e che ciò potrebbe avvenire anche su richiesta dell'interessato al punto di contatto o al DPO (cfr. LG 7/2020 punto 181: “Non viene specificato in che modo tali informazioni siano messe a disposizione dell'interessato. Contrariamente ad altre disposizioni del GDPR (quali l'articolo 30, paragrafo 4, in materia di registro dei trattamenti, o l'articolo 40, paragrafo 11, per il registro dei codici di condotta approvati), l'articolo 26 non prevede che la messa a disposizione debba essere «su richiesta» o «resa pubblica mediante mezzi appropriati». Spetta pertanto ai contitolari del trattamento decidere il modo più efficace per mettere il contenuto essenziale dell'accordo a disposizione degli interessati (ad esempio allegandolo alle informazioni di cui all'articolo 13 o 14, inserendolo nella politica in materia di privacy o, su richiesta, comunicandolo al responsabile della protezione dei dati, se del caso, o al punto di contatto eventualmente designato). I contitolari del trattamento dovrebbero garantire, per quanto di rispettiva competenza, che le informazioni siano fornite in modo coerente”).

L'EDPB, altresì, fornisceindicazioni su cosa debba intendersi per “contenuto essenziale dell'accordo”: lo stesso dovrebbe indicare quanto meno il “contact point”, oltre che gli elementi previsti dagli artt. 13 e 14 (per ciascuno dei quali si dovrebbe specificare quale dei due contitolari sia responsabile dell'adempimento).

Valenza dell'accordo nei rapporti interni ed esterni

L'impatto degli obblighi introdotti nell'articolo in commento è significativo, considerato che il mancato rispetto dello stesso è sanzionato, ai sensi dell'art. 83.4. GDPR, con la sanzione amministrativa pecuniaria fino a 10 milioni o fino al 2% del fatturato mondiale totale annuo dell'anno precedente.

Quanto al riparto di responsabilità per il caso di sanzioni, in assenza di previsione legislativa espressa, alcuni autori ritengono che l'accordo tra i contitolari non sia opponibile di per sé all'Autorità Garante, anche se lo stesso può comunque costituire un valido strumento per ricostruire i ruoli di ciascuno rispetto al trattamento dei dati personali (Salvati, 261).

Tale interpretazione, a parere di chi scrive, sembra confermata dalle linee guida dell'EDPB n. 7/2020 che, al punto 191, ricordano che le autorità non sono vincolate dall'accordo tra i contitolari.

La ripartizione delle responsabilità operata con l'accordo di cui all'art. 26 GDPR è comunque utile con riferimento ai rapporti interni tra i contitolari, al fine di un corretto riparto e una più efficiente gestione dei processi (Pelino, 136).

Inoltre, l'accordo potrà valere in caso di azioni risarcitorie. Infatti, ai sensi dell'art. 82 GDPR, nel caso in cui un danno sia imputabile a più titolari (o contitolari) del trattamento, ciascuno risponde in solido per l'intero ammontare. Tuttavia, il titolare che abbia pagato l'intero può agire nei confronti degli altri per ottenere la quota di risarcimento corrispondente alla responsabilità di ciascuno. È evidente, dunque, come l'accordo possa rivestire una notevole importanza con riguardo ad eventuali azioni di regresso.