Le linee guida dell’EDPB n. 07/2020 contengono interessanti spunti sui ruoli di titolare, responsabile e contitolare, insieme alle coeve n. 08/2020 che affrontano nello specifico le attività di targeting svolte sui social media. 

In questa tornata riportiamo alcuni passi in relazione al ruolo di titolare del trattamento ritenuti di maggior interesse sotto il profilo della rilevanza giuridica o della novità interpretativa

In parentesi quadra è riportato il riferimento numerico al pertinente paragrafo del documento. 

Titolare e EDPB 07/2020

Approfondimenti sul titolare

Le linee guida n. 07/2020 sono sottoposte a consultazione pubblica fino al 19 ottobre 2020. Il loro contenuto è la naturale evoluzione del precedente parere 1/2010 (wp169) sui concetti di titolare e responsabile del trattamento, rilasciato dal gruppo di lavoro dell’articolo 29, predecessore dell’EDPB: queste linee guida, infatti, sostituiscono espressamente il precedente parere [§4]. 

Nozione

Le nozioni di titolare e responsabile del trattamento, così come i criteri utilizzati per la individuazione di tali ruoli, non sono mutati con la riforma che ha coinciso con la piena applicazione del GDPR [§11]; il titolare rimane il principale destinatario delle prescrizioni oggetto della disciplina sulla corretta gestione dei dati personali ed il responsabile del trattamento è la terza parte, estranea all’organizzazione del titolare, delegata da quest’ultimo a effettuare operazioni di trattamento per suo conto e sulla base di istruzioni impartitegli.

Entrambi i ruoli hanno natura funzionale, cioè la relativa investitura deriva dalle reali circostanze di fatto sottostanti, piuttosto che da individuazioni o designazioni formali [§12, 20]; ad esempio, l’indicazione della titolarità contenuta in un contratto può certamente aiutare il processo di individuazione dei ruoli soggettivi data protection tra le parti ma non preclude valutazioni difformi, qualora tale designazione non trovi corrispondenza nella realtà sostanziale.

Considerata la responsabilità primaria posta a carico del titolare, come comprovato anche dal principio di accountability [§7-9], la nozione di titolare va interpretata in senso ampio per evitare eventuali situazioni elusive della legge [§14].

Criteri per l’individuazione della titolarità

Come già noto sin dalla direttiva 95/46/CE, la titolarità discende dall’individuazione del potere decisionale (o dall’influenza determinante [§23 ss.]) esercitato sulla finalità (il “perchè”) e sui mezzi (il “come”) del trattamento; cioè, titolare è chi determina (cioè, chi ha il potere di decidere su) perchè e come utilizzare i dati personali. 

La determinazione della finalità e dei mezzi incide in maniera diversa sul processo di individuazione della titolarità: mentre la prima (determinazione su finalità) è sintomo inequivocabile di titolarità [§37], la seconda (determinazione su mezzi) ammette margini di flessibilità. 

Determinazione dei mezzi di trattamento

Il titolare non perde la propria titolarità se consente ad un terzo che agisce per suo conto (responsabile del trattamento) di operare scelte su mezzi non essenziali del trattamento (ad esempio, apparecchiature hardware, applicazioni software, misure di sicurezza di dettaglio) [§38]. Come, ad esempio, nel caso di un fornitore di servizi cloud che scelga il server su cui far risiedere applicazioni e database del cliente e adotti relative misure di sicurezza accessorie, in aggiunta a quelle primarie concordate col cliente. Allo stesso modo, per l’attribuzione di titolarità non è sufficiente determinare solo la finalità, perchè occorre decidere anche in merito ai mezzi [§34]

Di converso, se il terzo avesse potere di determinare i mezzi essenziali al trattamento, i quali sono intrinsecamente collegati alla finalità [§38], questa circostanza sarebbe un probabile indicatore anche dell’esistenza di potere decisionale sulla finalità, lasciando ipotizzare un’autonoma titolarità del terzo o una sua contitolarità col soggetto committente. «Esempi di mezzi essenziali sono il tipo di dati personali che vengono trattati (“quali dati devono essere trattati?”), la durata del trattamento (“per quanto tempo devono essere trattati?”), le categorie di destinatari (“chi deve avere accesso ad essi? “) e le categorie di interessati (“quali i soggetti cui si riferiscono i dati personali oggetto di trattamento?”).» [§38].

Alla stessa stregua, un responsabile del trattamento non potrebbe mai determinare la finalità del trattamento, pena trasformarsi in titolare [§34].

In aggiunta, il contratto (o altro atto giuridico di natura vincolante) che regola i rapporti titolare/responsabile costituisce un adempimento sia per il titolare che per il responsabile: l’eventuale indisponibilità a sottoscriverlo determinerà una responsabilità in capo ad entrambi, la cui portata andrà valutata caso per caso [§101].