Contitolarità nel trattamento dei dati personali. Quando si verifica? Qual è il contenuto obbligatorio del contratto?
Il Regolamento n. 679/2016 - GDPR - all’art. 26, regola la situazione di contitolarità nel trattamento dei dati personali. In base a quanto disposto dallo stesso Regolamento, si tratta di una condizione che si verifica quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento.
Per meglio comprendere il concetto, è possibile fare riferimento alle linee guida a suo tempo disposte dal Garante della Privacy, in merito alla figura del Titolare del trattamento nella Circolare n. 291/S del 13 novembre 1997 e al parere del Gruppo Art. 29 1/2010, in cui si fa cenno ad alcune circostanze in cui due soggetti, cooperando insieme in materia di privacy, possono essere definiti entrambi titolari del trattamento. La contitolarità quindi deve essere individuata partendo dalla definizione di Titolare del trattamento, come spiegata dalle norme, ovvero la figura giuridica (persona fisica o giuridica, quindi l’ente o l’impresa) che, in maniera indipendente e autonoma, prende decisioni, determina e controlla lo scopo e le modalità attraverso cui deve essere svolto il trattamento dei dati.
Non è sempre semplice individuare situazioni di contitolarità, in particolare in scenari organizzativi complessi. In alcune situazioni, diventa, infatti, particolarmente problematico individuare se vi è una contitolarità o meno, si pensi, ad esempio, al caso in cui vari attori eseguono simultaneamente operazioni aziendali su dati personali di natura complementare al fine di fornire servizi ai consumatori. Prima dell’entrata in vigore del GDPR, pertanto è preferibile rivedere i rapporti contrattuali esistenti, in cui vi è un trattamento di dati personali, per verificare se sussistono i presupporti della contitolarità e quindi per comprendere se il rapporto tra le parti è paritario in merito al trattamento dati, oppure se vi è un rapporto gregario, in cui una delle parti è titolare e l’altra ricopre il ruolo di responsabile del trattamento.
Quando si accerti l’esistenza di una situazione di contitolarità...
il Regolamento obbliga i contitolari a regolare il loro rapporto attraverso un contratto interno, in cui, in maniera chiara, è necessario disciplinare:
- le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento;
- i rispettivi obblighi in merito all’esercizio dei diritti dell’interessato;
- le rispettive funzioni relativamente alla comunicazione dell’informativa, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti.
- indicare un punto di contatto utile agli interessati.
Il contratto dovrebbe ulteriormente identificare anche i movimenti che i dati trattati operano tra le parti. Il contenuto dell’accordo, anche eventualmente in forma sintetica, deve essere messo a disposizione degli interessati (i soggetti cui i dati trattati si riferiscono), ad esempio, pubblicandolo sul sito web dei contitolari del trattamento o comunque garantendo agli interessati di accedere a tale contenuto. Su entrambi i contitolari gravano le medesime responsabilità relativamente agli obblighi derivanti dalle nuove norme e dunque entrambi sono passibili delle sanzioni previste per i Titolari del trattamento.
Nella situazione di contitolarità, l’interessato può esercitare i propri diritti, ai sensi del Regolamento, nei confronti di e contro ciascun titolare del trattamento; nella sostanza, ciò significa che, anche se tra i contitolari si è deciso che sia uno dei due ad occuparsi di trattare eventuali reclami o richieste di esercizio dei diritti, l’interessato potrà decidere diversamente, rivolgendosi all’altro titolare, avendo il diritto, come concessogli dal Regolamento, di ricorrere indistintamente ad uno dei due soggetti. Da un punto di vista delle informative e delle privacy policy pare possa ritenersi sufficiente che esse siano redatte in maniera congiunta, ma abbastanza chiara nel precisare la contitolarità del trattamento; non essendovi disposizioni sul punto, si può pensare, infatti, che il legislatore europeo abbia preferito lasciare gli attori liberi di gestire autonomamente questa parte di obblighi, sebbene probabilmente, a breve, verranno messe a punto prassi, modelli standard o linee guida generali su come agire.