LA CONTITOLARITÀ DEL DATO NEL GDPR
L’articolo si pone l’obiettivo di inquadrare la contitolarità del dato così come disciplinato dall’articolo 26 GDPR (General Data Protection Regulation), nonché il modo in cui essa può realizzarsi in concreto.
La contitolarità del dato, rapporto paritetico di titolarità tra le parti, viene disciplinata dall’articolo 26 del Regolamento 679/2016. “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. Così recita la prima frase dell’articolo, pertanto, avremo due o più titolari del trattamento di un medesimo dato.
L’articolo 26, letto congiuntamente con il Considerando 79 del medesimo Regolamento, introduce il concetto di ripartizione delle responsabilità (accountability) non solo nel caso classico titolare-responsabile ma nel caso in esame. Infatti, la contitolarità, così come inquadrata nell’articolo che la disciplina, prevede che le parti titolari regolino, in materia trasparente e mediante accordo interno, le responsabilità previste dal GDPR, tranne nei casi in cui sia lo stesso diritto dell’Unione o dello Stato membro disciplinino tale responsabilità.
Pur essendo accomunati
dal principio di “accountability” (e dal Considerando 79), la diversa
base giuridica di quest’altro rapporto (articolo 28 GDPR) impone che sia
compito del titolare valutare “l’accountability” del responsabile
nominato. Viceversa, nella
contitolarità, le parti possono optare di far gravare su di esse le identiche
responsabilità del trattamento oppure decidere mediante accordo di ripartire le
responsabilità.
Sorgono due tipi di
questioni. La
prima riguarda il modo con cui le parti stabiliscono il rapporto di
contitolarità, e la seconda
questione, che verrà affrontata più avanti, riguarda le finalità e i mezzi con
cui avviene il trattamento.
Partendo dalla prima questione: il GDPR parla di
accordo, il cui contenuto minimo deve disciplinare gli obblighi derivanti dal
GDPR ed in particolar modo i diritti dell’interessato e le funzioni di comunicazione
previsti dagli articoli 13 e 14 del medesimo testo. Accordo che si
traduce in un contratto che si inquadra nei medesimi contratti stipulati tra
titolare e responsabile del trattamento, solo che in questo caso non si avrà un
Data Processor Agreement, bensì un Data Co-Controller Agreement. Questo accordo
potrà prevedere, così come definito dal GDPR, un unico punto di contatto (il
quale può individuarsi nel responsabile per la protezione dei dati di una delle
parti oppure in qualsiasi altra figura aziendale) per l’interessato.
Concentrandosi brevemente
sulla figura del punto unico di contatto, vanno sottolineati alcuni aspetti che
aiutano a comprendere meglio la contitolarità nel sistema della protezione dei
dati. Innanzitutto, va sottolineato che questa figura è facoltativa. Infatti
l’articolo 26 al terzo paragrafo, riconosce all’interessato la facoltà di
rivolgersi a qualsiasi contitolare per avere chiarimenti o far valere i propri
diritti inerenti al suo status di contitolare. Pertanto, anche qualora i
contitolari di un dato decidano di accordarsi mediante Data Co-Controller
Agreement per dividersi in maniera netta le proprie responsabilità designando
un punto unico di contatto, il Regolamento riconosce all’interessato, e ai
diritti che gli competono, una gerarchia valoriale superiore rispetto agli
accordi sottoscritti dai contitolari.
Alla luce di quanto
scritto sopra, appare evidente che la centralità dei diritti di cui è portatore
il titolare sono in primo piano rispetto agli accordi interni. Questo
rispecchia in pieno la portata generale di tutto il Regolamento, ponendo
l’interessato che cede i suoi dati in una posizione di tutela primaria rispetto
a chi detiene la titolarità o la contitolarità.
Da ciò deriva che un
contitolare, di fronte ad un diritto leso ai danni dell’interessato, potrebbe
rispondere in solido nei confronti di quest’ultimo, anche qualora non sia stato
lui stesso a violare il Regolamento. Ovviamente rimane intatto, come previsto
dall’ordinamento interno, il diritto di rivalsa nei confronti delle altre
parti. In quest’ottica appare evidente che il Data Co-Controller Agreement ha
efficacia “inter-alios” anche qualora le clausole presenti nel contratto
disciplinino la responsabilità in merito a violazioni del Regolamento.
Nonostante ciò, appare consigliabile che i contitolari inseriscano, all’interno
dell’accordo, clausole contrattuali che disciplinino la responsabilità
delle parti, modo tale da esperire il diritto di rivalsa solo ed
esclusivamente per il contitolare responsabile della lesione (ovviamente tale
questione diventa pregnante laddove i contitolari siano più di due).
L’altra questione che
merita di essere analizzata riguarda le finalità e i mezzi del trattamento.
Dalla lettura dell’articolo 26GDPRsembrerebbe che i contitolari
decidano congiuntamente. Questa situazione mette in luce una finalità
teleologica della contitolarità fine solo ed esclusivamente ad un’unità di
intenti anche per quanto riguarda le finalità e i mezzi. Tuttavia, il dettato
normativo del GDPR non preclude ad una diversa finalità tra le parti
contitolari. Pur non essendoci giurisprudenza sul tema, va richiamato il parere
1/2010 sui concetti di “responsabile del trattamento e incaricato del
trattamento” [1]del “Gruppo di lavoro articolo 29”. Partendo dal concetto che, accanto alla
contitolarità, può sussistere anche la corresponsabilità vediamo che il parere
riconosce una “responsabilità plurima”[2]
che non può essere inquadrata in un sistema chiuso, tipicizzato. Il “Gruppo di
lavoro articolo 29” lascia aperte a diverse relazioni di contitolarità
funzionale che si concretizza in forme diverse e non tipiche. Saranno le
diverse clausole dell’accordo a permettere una olricostruzione pragmatica della
contitolarità nell’esperienza contrattuale che le parti decidono di
sottoscrivere.
Quello che merita di essere sottolineato è il parere[3] dato dal Gruppo di Lavoro articolo 29 sulla precedente normativa in materia di protezione dati (Dir. UE 46/1995). In concreto era sorta una questione di legittimità sul trattamento dei dati che SWIFT (Society for Worldwide Interbank Financial Telecommunication) faceva su richiesta degli istituti bancari europei, i quali utilizzavano la piattaforma messa a disposizione di SWIFT per transazioni internazionali dei propri clienti. SWIFT, conservava questi dati all’interno di un Database situato negli Stati Uniti e comunicava gli stessi dati al Dipartimento degli Stati Uniti d’America, senza esplicito consenso degli istituti bancari europei. Il Gruppo di Lavoro, investito sul tema da parte degli istituti bancari, ha risolto inquadrato la questione riconoscendo a SWIFT la contitolarità del dato e non riconoscendogli il ruolo di “responsabile del trattamento” :“Sebbene la SWIFT si presenti come responsabile del trattamento dei dati, e alcuni elementi possano suggerire che in passato la SWIFT abbia agito, in certi casi, come responsabile del trattamento per conto degli istituti finanziari, il gruppo di lavoro, considerato l'effettivo margine di manovra di cui dispone la SWIFT nelle situazioni descritte in precedenza, ritiene che la SWIFT sia titolare del trattamento dei dati ai sensi dell'articolo 2, lettera d) della direttiva, per quanto riguarda al tempo stesso il normale trattamento dei dati personali nell'ambito del suo servizio SWIFTNet nonché i trattamenti ulteriori consistenti nel trasferire i dati personali all'UST.”[4]
Dott. Benedetto Fucà
[1] Parere 1/2010 sui concetti di
"responsabile del trattamento" e "incaricato del
trattamento" https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1791922 Pag.19 e ss.
[2] Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento" https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1791922, pag.18
[3] Parere 10/2006 sul trattamento dei
dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie
mondiali (SWIFT) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1607808
[4] Parere 10/2006 sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1607808, pag. 13
