Titolare o responsabile del trattamento? Una questione non (solo) formale

“Avvocato, ma non possiamo fare che siamo noi responsabili del trattamento e quegli altri titolari del trattamento, così non dobbiamo consegnare l’informativa?”.

Capita ancora, in contesti aziendali, quando è il momento di individuare e/o verificare i ruoli delle parti coinvolte nel trattamento di dati personali, di ascoltare idee di questo tipo, frutto di momenti di evidente spiccata creatività.

La soluzione apparentemente più semplice, però, non per forza è quella giusta. E quasi sempre non lo è in questi casi.

La qualificazione delle parti quali titolari o responsabili del trattamento ai sensi del Regolamento (UE) 2016/679 (GDPR), infatti, non può essere dettata da mere ragioni di convenienza o di opportunità, ma deve essere – come più volte ribadito dall’EDPB e dal Garante per la protezione dei dati personali – frutto di una accurata valutazione delle circostanze concrete relative all’ambito soggettivo del trattamento.

L’analisi del caso concreto, e di tutti gli elementi rilevanti ai fini dell’attribuzione dei ruoli delle parti, dovrebbe essere effettuata già in fase di progettazione dell’attività che darà luogo ai trattamenti di dati personali. Contrariamente, si parte subito fuori strada e, più si va avanti, più è difficile raddrizzare la rotta.

Ciò in quanto la corretta individuazione dei – mi si passi il termine approssimativo – “ruoli privacy” è un aspetto fondamentale, necessariamente propedeutico per la tenuta dell’intera politica aziendale di protezione dei dati. È proprio dall’individuazione dei ruoli, infatti, che scaturiscono e vengono allocati tra le parti, i numerosi e talvolta complessi obblighi previsti dal GDPR e, più in generale, dalla normativa in materia di protezione dei dati personali.

Il recente provvedimento sanzionatorio che il Garante per la protezione dei dati personali ha emesso nei confronti di Autostrade per l’Italia S.p.a.[1] (di seguito, il “Provvedimento”) non aggiunge nulla di nuovo al riguardo, ma è un importante reminder per tutte quelle aziende che intendono rispettare la normativa in materia di protezione dei dati personali, fungendo altresì da monito per chi alimenta e porta avanti iniziative come quelle di cui in incipit.

Il Provvedimento, inoltre, offre qualche spunto di riflessione su alcune particolari circostanze che possono talvolta trarre in inganno le parti nell’individuazione dei ruoli. E trae origine da una situazione di fatto abbastanza comune a molte aziende, pubbliche e private, operanti in Italia.

Vediamo, dunque, brevemente, di cosa si tratta.

Il fatto

Autostrade per l’Italia S.p.a., in qualità di concessionario della costruzione e dell’esercizio della rete autostradale, dando attuazione alle misure compensative stabilite con accordo transattivo stipulato con il MIMS, ha affidato interamente a Free To X S.r.l. – società interamente controllata dalla prima al momento degli accertamenti da parte del Garante – l’ideazione e la successiva gestione, tramite l’omonima app e secondo i criteri stabiliti da Autostrade, del c.d. servizio “Cashback”, ossia di un sistema che consenta agli utenti autostradali di ottenere il rimborso del biglietto autostradale per ritardi dovuti a cantieri per lavoro.
Contestualmente all’affidamento del suddetto incarico, Autostrade per l’Italia S.p.a. e Free To X S.r.l. hanno concluso un “atto di designazione del responsabile” individuando quest’ultima titolare del trattamento dei dati personali trattati per l’erogazione del servizio Cashback, e ciò, sostanzialmente, sulla scorta dell’ampio livello di autonomia in capo alla stessa nella gestione e nella realizzazione dell’app affidatale da Autostrade per l’Italia S.p.a. la quale, a detta della stessa, si sarebbe limitata alla sola determinazione dello scopo del servizio citato, senza intervenire in alcun modo sulle relative finalità e mezzi.
Tale configurazione, pertanto, si rifletteva nell’informativa che veniva fornita all’utente dell’app.

Spunti di riflessione offerti dal Provvedimento

Il Garante, in seguito agli accertamenti svolti, ha rilevato l’inesatta configurazione dell’ambito soggettivo del trattamento e, conseguentemente, l’inadeguatezza dell’informativa resa agli utenti, accertando quindi la violazione del principio di liceità, correttezza e trasparenza nei confronti degli interessati, oltre che dell’art. 28 del GDPR.

Con riguardo all’inesatta configurazione dell’ambito soggettivo del trattamento è utile segnalare che il Garante, oltre a ribadire quelli che sono i criteri da osservare per una corretta attribuzione dei ruoli delle parti coinvolte nel trattamento – sui quali non ci si soffermerà nel presente articolo – sottolinea che ai fini del corretto inquadramento dei ruoli di titolare e responsabile del trattamento, a nulla rileva quanto indicato da Autostrade per l’Italia S.p.a. e Free To X S.r.l. nell’atto di designazione del responsabile. Né, tantomeno, assume rilevanza l’avvenuto riconoscimento, da parte di Autostrade per l’Italia S.p.a., di alcuni margini di autonomia decisionale in capo a Free To X S.r.l. relativi alla ideazione e gestione dell’app. Giova riportare, a tal proposito, alcuni passaggi chiave del provvedimento in questione, nel quale il Garante osserva: “I poteri decisionali in capo a Free to X S.r.l., infatti, non afferiscono alle finalità e ai mezzi essenziali dei trattamenti relativi al servizio Cashback, quanto piuttosto allo sviluppo e alla gestione dell’App quale strumento di realizzazione concreta dello stesso”, e ancora “le scelte poste in essere da Free to X S.r.l. in ordine allo sviluppo dell’App e alla gestione del servizio Cashback per il tramite della stessa, riguardano pertanto i “mezzi non essenziali” del trattamento, in quanto afferenti ad “aspetti (..) pratici legati all’esecuzione del[lo stesso]” la cui portata e relative finalità sono state oggetto, a monte, di esclusiva determinazione da parte di ASPI”.

È facile intuire come quanto sopra abbia ampia rilevanza per tantissime aziende, sia pubbliche sia private: per tutte quelle aziende, cioè, che, nell’affidare lo sviluppo di specifici servizi e progetti, si affidano totalmente a società specializzate, dando loro ampia autonomia decisionale in merito a determinati aspetti. D’altronde, come sarebbe possibile il contrario, se la realizzazione di tali servizi richiede elevate competenze (ad esempio informatiche) che il committente non possiede?

Ebbene, tale – tutt’altro che eccezionale – circostanza, non deve esonerare il committente dallo svolgere tutte quelle analisi che sono richieste per configurare correttamente i ruoli delle parti nel trattamento dei dati personali. Ne va del rispetto del GDPR, come inizialmente illustrato, e – di conseguenza – del rispetto di tutte le persone coinvolte.

È interessante, infine, notare che per calibrare l’importo della sanzione amministrativa pecuniaria, il Garante ha tenuto conto, tra gli altri parametri, della voce di conto economico individuata nei c.d. “Ricavi da pedaggio” evidentemente legata al servizio di Cashback.

Per inciso, la sanzione ammonta a 1 milione di euro. Roba da far svegliare o’ cavaliere[2].

[1] Provvedimento del 22 giugno 2023 [doc. web n. 9909702], consultabile sul sito istituzionale del Garante per la protezione dei dati personali.
[2] Il riferimento è a una famosa scena del film “Così parlò Bellavista” (1984), di LUCIANO DE CRESCENZO, in cui “o’ cavaliere”, impersonato dall’attore Aldo Tarantino, si desta ogni volta che sente pronunciare la parola “milione”.

Immagine di copertina: Pexel.com

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Titolare o responsabile del trattamento? Una questione non (solo) formale

Il fatto

Spunti di riflessione offerti dal Provvedimento

Le possibili minacce alla protezione dei dati personali – International School in Digital Governance 2023

La protezione dei dati personali nel processo di trasformazione digitale

Information Security e Digital Forensics

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA