Il Garante risponde al Consiglio Nazionale dei Consulenti del lavoro: lo schema è "Titolare/Responsabile"

CONTITOLARI NEL TRATTAMENTO DEI DATI PERSONALI? 

Il 24 settembre 2018 il Consiglio di consulenti del lavoro ha posto un quesito al Garante italiano circa il tema della possibile contitolarità nel trattamento dei dati personali normalmente ricevuti nello svolgimento della professione da parte degli iscritti all’Albo della categoria. 

L’articolata risposta fornita al detto quesito da un Dirigente dell’Autorità di controllo il 22 gennaio 2019 ha, di nuovo, portato alla ribalda “giuridico-mediatica” gli interpretabili (ed incerti) confini di applicabilità dell’art. 26 del Reg. UE 2016/679 in tema di contitolarità del trattamento dati.

Nel caso di specie il Dirigente del Dipartimento dell’Autority nazionale ha, con ottime argomentazioni, riproposto il (nella detta risposta definito) <<costante orientamento espresso>> dal Garante medesimo secondo cui, in definitiva, <<le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla norma lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento>>.

Ebbene, al di là del fatto che oggi, almeno i consulenti del lavoro potranno avere un autorevole (e a livello nazionale più tutelante) punto di riferimento nel regolare le procedure di trattamento dei flussi di dati personali ricevuti dai loro clienti, il delicato tema della contitolarità – a sommesso parere di chi scrive – è ben lontano dall’essere stato reso chiaro e/o facilmente applicabile ai moltissimi casi pratici che, in concreto, si possono realizzare nella quotidianità. 

E probabilmente è giusto che sia (e rimanga) così, poiché non sarebbe coerente con la ratio della regolamentazione europea schematizzare a priori ed in base a categorie generali la possibile eterogenea miriade di trattamenti di dati che si possono verificare in concreto, caso per caso. 

Lo Stesso dirigente del Garante, al proposito, utilizza saggiamente la parola <<di regola>>, con ciò, quindi, volendo egli presupporre o, almeno, non escludere, le molte eccezioni pratiche che si potranno verificare anche rispetto allo schema proposto nella risposta data al quesito in oggetto.  

Ma in questo scenario, invece, una cosa potrebbe considerarsi “certa”: la questione della sussistenza della contitolarità dovrebbe essere studiata (se possibile prima dell’inizio del trattamento) e risolta, caso per caso, dai soggetti ed entità che, per le più disparate ragioni, trattano (direttamente o indirettamente) i dati personali degli individui insieme ad altri soggetti o entità. Studio che, oltre ad essere incentrato sulla tutela dei diritti degli individui interessati dal trattamento, dovrebbe, peraltro, necessariamente prevedere un momento di analisi “congiunta” tra detti soggetti/entità anche qualora si tratti di escludere ogni contitolarità. 

La determinazione di esclusione o di sussistenza (anche solo in quota parte) di una ipotesi di contitolarità ex art. 26 Reg. 2016/UE (ovvero ex art. 17 del Dlgs n. 51/2018) non potrebbe/dovrebbe, infatti, prescindere da una analisi unitaria e congiunta dei flussi di trattamento dei dati da parte di tutti i (principali) soggetti che, a vario titolo, li trattano in base a qualsiasi ragione, ovvero ipotesi di principale o anche solo teorizzabile <<schema>>. 

E peraltro si tratterebbe di un momento di analisi (fosse anche minimo) non solo utile a stabilire in concreto i presupposti tecnico-pratici per parlare, o meno, di contitolarità, ma pure perfettamente in linea con il noto principio di accountability che, non a caso, permea tutto il GDPR. 

Del resto chi, meglio dei soggetti che andranno a trattare i dati, sarebbe in grado di stabilire in che modo e sino a che punto possano sussistere finalità e mezzi di trattamento anche solo in parte stabiliti (<<determinati>>) congiuntamente con altri?

E non si tratterebbe di una analisi inutile posto che, come noto, dall’erronea impostazione del trattamento, oltre alla violazione dei diritti degli interessati, potrebbero derivare possibili severe conseguenze negative. Infatti, la lettera a) del paragrafo 4 dell’art. 83 del GDPR, per il caso di mancato rispetto degli obblighi di cui agli artt. da 25 a 39 (compreso, quindi, il disposto di cui all’art. 26), prevede sanzioni amministrative pecuniarie sino a dieci milioni di euro e sino al due percento del fatturato mondiale annuo dell’esercizio precedente.

Non poca “cosa”, dunque!   

In tale dinamico panorama, soprattutto la definizione di cui alla norma in oggetto, con particolare riferimento alla parola <<determinano>>, è stata messa in rilievo poiché, stando agli arresti giurisprudenziali, alle risposte fornite dalle autorità di controllo, alle linee guida delle entità preposte, alla letteratura in materia, nonché al significato letterale della norma stessa, pare che tale definizione abbia due attuali versioni di possibile interpretazione: (A) una restrittiva (cfr., ad esempio, FAQ 22/01/2019 del dipartimento del Garante Italiano) e (B), l’altra, ad oggi apparentemente “sposata” dalla Corte di Giustizia (cfr. sentenza 5/06/2018 C-2010/16), estensiva.

In base all’art. 26 sussiste contitolarità <<allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi di trattamento essi sono contitolari del trattamento >>.

E’ dunque di immediata evidenza che, qualora si intenda dare rilevanza formale e sostanziale alla congiuntiva <<e>> (che connette le finalità ai mezzi di trattamento), la presenza di una ipotesi di contitolarità diventerà più rara, visto che, almeno in apparenza, ben difficilmente un titolare del trattamento, in concreto, predispone o concepisce anche i mezzi di trattamento dei dati di un altro soggetto, specie se tali mezzi sono, in tutto o in parte, già stabiliti dalla normativa a monte (es. piattaforme utilizzate dalla PA; sistemi di fatturazione elettronica etc.).

Quindi, quand’anche dovesse sussistere una determinazione congiunta (anche se in sola quota parte) delle finalità complessive del trattamento, mancando la determinazione congiunta dei mezzi, la contitolarità di cui all’art. 26 non sussisterebbe. 

Tuttavia, qualora la locuzione <<determinano>> si possa (o forse si debba) intendere quale mera scelta di un mezzo, ovvero di un insieme di mezzi di trattamento, indipendente dalla concezione e/o dalla realizzazione degli stessi (come sembra suggerire la Corte di Giustizia Europea), ecco che, allora, la sussistenza di una ipotesi di contitolarità sarebbe meno rara di quello che si potrebbe ritenere in base ad una interpretazione letterale e formalistica della norma.  

In proposito, tra i molti atti assunti dall’Autorità Italiana di controllo (richiamati anche nella citata risposta data ai Consulenti del lavoro il 22/01/2019), appare molto interessante – e, ad avviso di chi scrive, condivisibile ed attuale – il provvedimento del 23 gennaio 2014, redatto e firmato dal Presidente del Garante, Dr. Antonello Soro, in tema di servizi di firma digitale con autenticazione biometrica. 

Tale provvedimento, mutatis mutandis, traendo spunto dai pareri del WP29, afferma in sintesi che <<si è in presenza di una situazione di corresponsabilità [oggi, alias: “contitolarità”] quando varie parti determinano, per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti […]>>.

Provvedimento che sottolinea pure l’importanza di valutare bene <<la partecipazione delle parti alla determinazione congiunta [che] può assumere varie forme e non deve essere necessariamente ripartita in modo uguale", potendo i vari titolari "occuparsi – e quindi rispondere – del trattamento di dati personali in fasi diverse e a gradi diversi" (così Parere 1/2010 sui concetti di titolare e incaricato del trattamento, WP 169, adottato il 16 febbraio 2010, p. 19; per alcune pronunce in tal senso, v. Provv. Garante 3 dicembre 2009, doc. web n. 1692917; Provv. 30 maggio 2007, doc. web n. 1412610; Provv. 13 settembre 2012, doc. web n. 1927456)>>.  

Ed ancora, sempre nel citato provvedimento, vengono messi in autorevole luce i seguenti aspetti, qui esposti in sintesi: in primo luogo la comunanza di esigenze tra le parti del rapporto di assicurare certezza e sicurezza alle operazioni intercorrenti con gli utenti nella loro complessità;- poi la determinazione da parte di una sola delle due entità (nel caso una Banca) delle finalità principali del trattamento e dei (teorici) mezzi di esecuzione dello stesso rispetto ai dati personali in questione (quelli biometrici);  -  e, quindi, la determinazione da parte della seconda entità (una società tecnologica), in armonia con le esigenze della banca, delle finalità del trattamento da rapportare alla gestione del complessivo servizio di firma digitale fornito all´istituto, nonché delle modalità di esecuzione del trattamento unitamente alla determinazione quota parte congiunta delle procedure operative per l´identificazione e registrazione dei firmatari.

Con ciò l’Autorità nazionale, in buona sostanza, ha messo bene in luce che, seppur le finalità e (se vogliamo) la concezione (meramente) teorica del “servizio di certificazione digitale” siano da ricondurre ad una sola entità (la Banca), rispetto alla comunanza di finalità e mezzi di erogazione finale del servizio, neppure la seconda entità (la società esterna) si sarebbe potuta considerarsi estranea al concetto di partecipazione nelle dette determinazioni. Determinazioni che, quindi, seppure in modo diverso, sia per concezione (tecnica) che per impostazione di trattamento, dovevano/potevano di fatto (ed in base al buon senso) considerarsi comuni ad entrambe le entità. 

Infatti il Garante, al detto riguardo, ha tratto le seguenti condivisibili conclusioni: <<Alla luce di tali complessivi elementi, appare arduo// ipotizzare due distinti trattamenti di dati biometrici in capo alla banca e a //Technologies s.r.l. (i quali, peraltro, autonomamente considerati, risulterebbero fini a sé stessi), dovendo piuttosto ritenersi, anche in vista di un più agevole esercizio dei diritti di cui all´art. 7 del Codice da parte degli interessati, che le società coinvolte, ancorché operanti "in sequenza", pongano in essere – nell´ambito di un servizio definito "omogeneo"// – operazioni differenti di un unico trattamento preordinato all´autenticazione degli interessati, avvalendosi a tal fine di strumenti stabiliti congiuntamente (e operanti in forma "integrata") [ndr: non concepiti o realizzati congiuntamente] e rispondendo del medesimo trattamento solo per la parte di propria competenza (in tal senso, v. anche il menzionato parere del Gruppo art. 29, p. 21)>>.

           (Avv. Lorenzo Tamos)

 Ogni riproduzione è riservata



[1]  Cfr. le recenti conclusioni dell’Avvocato Generale Bobek nella causa C-40/17, Fashion ID GmbH & Co. KG, secondo cui: <<il gestore di un sito Internet che inserisce il plugin di un terzo, come il pulsante “Mi piace” di Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è corresponsabile di tale fase del trattamento dei dati. Tuttavia, tale responsabilità (congiunta) del responsabile del trattamento dovrebbe essere limitata alle operazioni per le quali esso co-decide effettivamente in merito agli strumenti e alle finalità del trattamento dei dati personali. Ciò significa che un (cor)responsabile del trattamento ha la responsabilità dell’operazione o della serie di operazioni per la quale o per le quali condivide o codetermina le finalità e gli strumenti di una determinata operazione di trattamento. Per contro, tale persona non può essere ritenuta responsabile delle fasi precedenti o successive dell’intera catena di trattamento, per le quali non era in grado di determinare le finalità o gli strumenti>>.