Titolare e responsabile del trattamento: e se manca la nomina? Le conseguenze secondo il Garante

Individuare e disciplinare ruoli e responsabilità delle parti coinvolte nel trattamento dei dati personali è una delle questioni più rilevanti, e talvolta più spinose, che la normativa in materia di protezione dei dati personali, ed in particolare il Regolamento (UE) 679/2016 (di seguito “Regolamento” o “GDPR”)[1], richiede di dover affrontare. Di sicuro lo è nei rapporti tra titolare e responsabile, soprattutto quando a quest’ultimo viene affidato lo svolgimento di attività che comportino trattamenti di dati personali idonei ad incidere in maniera rilevante sui diritti e libertà delle persone.

A tal riguardo, importanza primaria è rivestita dall’accordo ai sensi dell’art. 28 (nel prosieguo indicato per comodità con i termini “Accordo” o anche “Atto di designazione a responsabile”[2], anche se sostanzialmente trattasi di un vero e proprio contratto e quest’ultima terminologia non deve sviare il lettore), la cui stipulazione risulta imprescindibile, tanto per il titolare quanto per il responsabile, per agire conformemente alla citata normativa.

💡POTREBBE INTERESSARTI – Suggerimenti operativi sulle modalità di verifica della certificazione verde Covid-19

La mancanza della Nomina a responsabile nelle recenti pronunce del Garante

La centralità dell’Accordo è stata di recente rimarcata dal Garante per la protezione dei dati personali (il “Garante”) nei provvedimenti emanati nei confronti di Roma Capitale, Atac S.p.a. e Flowbird Italia S.r.l., i quali, nella vicenda esaminata dall’Autorità, hanno assunto rispettivamente i ruoli di titolare, responsabile e sub-responsabile (o altro responsabile), con riguardo ai trattamenti di dati personali finalizzati alla regolazione delle soste e dei parcheggi a pagamento in alcune aree. In sintesi, Roma Capitale ha affidato alcuni servizi di gestione dei parcheggi ad Atac, la quale a sua volta si è avvalsa di Flowbird per l’installazione di alcuni parcometri in grado, tra l’altro, di consentire la personalizzazione del pagamento mediante l’inserimento della targa del veicolo. I provvedimenti sanzionatori del Garante, in relazione alle numerose violazioni formali e sostanziali rilevate, hanno portato rispettivamente a sanzioni di 800.000 euro nei confronti di Roma Capitale, 400.000 euro nei confronti di Atac e 30.000 euro nei confronti di Flowbird. Comunque, a prescindere dalle contestazioni riferibili al titolare (Roma Capitale), concentreremo la nostra attenzione nel presente articolo sulle contestazioni del Garante riferibili ai ruoli di responsabile (Atac) e sub-responsabile (Flowbird).

Ciò che qui interessa sottolineare è che le attività di cui sopra, e le relative obbligazioni, erano regolate contrattualmente tra le Parti. Inoltre, come pure rilevato dal Garante:

i trattamenti riconducibili alla regolazione delle soste e dei parcheggi a pagamento sono attività rientranti tra quelle istituzionali degli enti locali: tale circostanza giustificherebbe la liceità del trattamento, individuandone la base giuridica nell’art. 6, par. 1, lett. c) ed e).

Nonostante il ricorrere di tali circostanze, con due separate ordinanze di ingiunzione del 22 luglio 2021 – una emanata nei confronti di Atac, l’altra nei confronti di Flowbird – il Garante, accertato, tra l’altro, che dette società hanno trattato dati personali senza che il loro ruolo di responsabile (e sub-responsabile) del trattamento fosse disciplinato ai sensi dell’art. 28, le ha così sanzionate anche per violazione dell’art. 6. Dunque, per mancanza di idonea base giuridica che renda lecito il trattamento.

Interessante notare come il Garante, dando seguito ad un proprio recente orientamento, abbia ritenuto configurarsi la violazione dell’art. 6 in capo a due soggetti, il responsabile e il sub-responsabile del trattamento, sui quali non graverebbe l’onere di individuare la corretta base giuridica del trattamento (ciò che rende lecito il trattamento ai sensi del citato art. 6), mentre ha ritenuto di dover sanzionare il titolare del trattamento, sul punto, solo per violazione dell’art. 28.

Di seguito alcune considerazioni al riguardo.

Quale relazione tra la designazione a responsabile e la base giuridica del trattamento?

La stretta correlazione che viene fatta tra la designazione a responsabile e la liceità del trattamento intesa come presenza di idonea base giuridica emerge dalla lettura dei due provvedimenti in questione, in cui il Garante sembra individuare nella designazione a responsabile una base giuridica a sé stante, anche se operante limitatamente ai trattamenti svolti per conto del titolare da parte dei responsabili del trattamento.

A tale conclusione propendono diversi passaggi, pressoché identici:

“Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della società [Atac] specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità […]”; e

“Pertanto, in assenza della designazione quale responsabile del trattamento […] da parte del titolare e non essendo stati individuati dalla società [Atac] altri presupposti che possano legittimare il trattamento dei dati personali degli utenti del servizio in esame, il trattamento svolto per conto e nell’interesse di Roma Capitale risulta essere stato effettuato dalla società in assenza di idonea base giuridica e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.”

“l’Ufficio ha rilevato che la società [Flowbird] ha partecipato al trattamento dei dati personali raccolti attraverso i nuovi parcometri installati sul territorio, senza che il suo ruolo fosse stato definito e dunque in assenza di una condizione di liceità […]”; e

“Pertanto, in assenza della prescritta nomina quale “(sub)responsabile del trattamento” e non essendo stati individuati dalla società altri presupposti che possano legittimare il trattamento dei dati personali degli utenti del servizio in esame, il trattamento dei dati personali svolto dalla società [Flowbird] a partire dal mese di XX e fino alla data di effettiva designazione, avvenuta in data XX (nota del XX, all. 5 e 6), risulta essere stato effettuato in assenza di idonea base giuridica e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.”

A ben vedere, però, a nostro avviso, la natura dell’elenco di cui all’art. 6, la cui tassatività non ammetterebbe ampliamenti a opera del Garante, non consentirebbe tale interpretazione. Avrebbe forse più senso, allora, sostenere che solo attraverso la formalizzazione e, quindi, la sottoscrizione della designazione a responsabile, la base giuridica su cui si fondano i trattamenti del titolare si estende funzionalmente anche ai trattamenti svolti dai responsabili e sub-responsabili? È quanto sembra voler far intendere il Garante quando precisa che:

“L’art. 6, par. 1, lett. e) del Regolamento, infatti, ammette il trattamento se necessario “per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, legittimando, pertanto, il “titolare del trattamento” (Roma Capitale), investito da un compito di interesse pubblico, a trattare i dati per tale finalità
e non altri soggetti che trattano i dati per conto del titolare […]”

Anche tale interpretazione non convince del tutto. Sarebbe preferibile considerare, piuttosto, un valido contratto di “esternalizzazione”, anche in tutto o in parte privo degli elementi richiesti dall’art. 28, come strumento idoneo a trasferire la base giuridica ai trattamenti svolti dai responsabili del trattamento, proprio in virtù del fatto che l’esecuzione di tale contratto renda indispensabile procedere ad un trattamento di dati personali “in nome e per conto” del titolare.
Fermo restando che la violazione degli artt. 6 e 9 debba restare – in ogni caso, dunque anche in presenza di un valido contratto di esternalizzazione e di designazione a responsabile – configurabile solo in capo al titolare del trattamento, unico soggetto su cui dovrebbe gravare l’onere di individuare la base giuridica dei propri trattamenti, ivi compresi quelli esternalizzati a soggetti terzi esterni alla propria organizzazione.

Conclusioni

È lecito, quindi, chiedersi perché il Garante non si sia limitato a sanzionare, in capo al responsabile e al sub-responsabile del trattamento, la violazione degli obblighi derivanti dall’art. 28 – come invece fatto nei confronti di Roma Capitale – nella misura in cui le parti non hanno concluso l’accordo prescritto da detta norma, ma abbia invece preferito accertare una violazione dell’art. 6. Quale che sia la risposta, i provvedimenti presi in esame rivelano chiaramente la forte volontà dell’Autorità di evidenziare tanto:

l’importanza che i rapporti tra le parti coinvolte nel trattamento vengano disciplinati conformemente al GDPR, ed in particolare al relativo art. 28, se trattasi di titolare e responsabile del trattamento, quanto
la non secondarietà della figura del responsabile del trattamento, spesso chiamato a svolgere un ruolo preminente nel trattamento dei dati che ricade sotto la titolarità di altri soggetti.

In tale ottica, è necessario non trascurare nessun aspetto quando si intende affidare lo svolgimento di talune attività a un soggetto esterno alla propria organizzazione e realizzare sin dalle origini un rapporto che consenta alle parti di agire in conformità al GDPR.

Quel che si chiede a titolare e responsabile del trattamento, in altre parole, è di costruire processi aziendali interni ispirati al rispetto dei principi e delle norme del GDPR, la cui osservanza deve guidare anche le scelte relative ai rapporti con soggetti esterni alla propria organizzazione, a maggior ragione quando tali rapporti comportano un trattamento di dati personali.

Tante le misure da mettere in pratica per raggiungere tale obiettivo, che peraltro necessita di adeguata formazione e sensibilizzazione del personale interno coinvolto. Cerchiamo di individuarne alcune basilari, anche alla luce del messaggio lanciato dal Garante. Da una parte, soprattutto il titolare del trattamento, dovrebbe individuare con precisione i trattamenti che intende affidare all’esterno sin da subito, avendo cura di selezionare i responsabili del trattamento, anche in base alla loro affidabilità e alle garanzie offerte relativamente alla protezione dei dati personali, altresì assicurandosi della loro disponibilità a disciplinare altrettanto puntualmente ruoli e responsabilità nel trattamento dei dati.

Dall’altra parte, il responsabile del trattamento dovrebbe farsi parte diligente, per quanto di propria competenza, in caso di inerzia del titolare del trattamento. La circostanza che non sia il soggetto deputato a scegliere finalità e mezzi del trattamento non può e non deve essere una scriminante per l’osservanza degli obblighi che la normativa in materia di protezione dei dati personali pone a suo carico.

Entrambe le parti dovrebbero recepire internamente procedure volte a subordinare l’inizio dell’esecuzione di un contratto, o la conclusione dello stesso, alla formalizzazione di un apposito accordo che disciplini i rispettivi ruoli e responsabilità con riguardo al trattamento di dati personali che ne consegue. Il tutto, in un’ottica di piena, effettiva e reciproca collaborazione, che deve necessariamente alimentare il rapporto tra titolare e responsabile del trattamento, e tra questi e il sub-responsabile.

[1] Ove non diversamente indicato, gli articoli menzionati si riferiscono al Regolamento (UE) 679/2016.

[2] L’art. 28 GDPR prevede che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso in E-learning di Unitelma Sapienza

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo, in particolare si fa riferimento al GDPR – Regolamento UE 679/2016 e al Regolamento eIDAS – Regolamento UE n° 910/2014.

SCOPRI IL CORSO

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Titolare e responsabile del trattamento: e se manca la nomina? Le conseguenze secondo il Garante

La mancanza della Nomina a responsabile nelle recenti pronunce del Garante

Quale relazione tra la designazione a responsabile e la base giuridica del trattamento?

Conclusioni

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso in E-learning di Unitelma Sapienza

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA