L’articolo si pone l’obiettivo di inquadrare la contitolarità del dato così come disciplinato dall’articolo 26 GDPR (General Data Protection Regulation), nonché il modo in cui essa può realizzarsi in concreto.
La contitolarità del dato, rapporto paritetico di titolarità tra le parti, viene disciplinata dall’articolo 26 del Regolamento 679/2016. “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. Così recita la prima frase dell’articolo, pertanto, avremo due o più titolari del trattamento di un medesimo dato.
L’articolo 26, letto congiuntamente con il Considerando 79 del medesimo Regolamento, introduce il concetto di ripartizione delle responsabilità (accountability) non solo nel caso classico titolare-responsabile ma nel caso in esame. Infatti, la contitolarità, così come inquadrata nell’articolo che la disciplina, prevede che le parti titolari regolino, in materia trasparente e mediante accordo interno, le responsabilità previste dal GDPR, tranne nei casi in cui sia lo stesso diritto dell’Unione o dello Stato membro disciplinino tale responsabilità.
Pur essendo accomunati dal principio di “accountability” (e dal Considerando 79), la diversa base giuridica di quest’altro rapporto (articolo 28 GDPR) impone che sia compito del titolare valutare “l’accountability” del responsabile nominato. Viceversa, nella contitolarità, le parti possono optare di far gravare su di esse le identiche responsabilità del trattamento oppure decidere mediante accordo di ripartire le responsabilità.
Sorgono due tipi di questioni. La prima riguarda il modo con cui le parti stabiliscono il rapporto di contitolarità, e la seconda questione, che verrà affrontata più avanti, riguarda le finalità e i mezzi con cui avviene il trattamento.
Partendo dalla prima questione: il GDPR parla di accordo, il cui contenuto minimo deve disciplinare gli obblighi derivanti dal GDPR ed in particolar modo i diritti dell’interessato e le funzioni di comunicazione previsti dagli articoli 13 e 14 del medesimo testo. Accordo che si traduce in un contratto che si inquadra nei medesimi contratti stipulati tra titolare e responsabile del trattamento, solo che in questo caso non si avrà un Data Processor Agreement, bensì un Data Co-Controller Agreement. Questo accordo potrà prevedere, così come definito dal GDPR, un unico punto di contatto (il quale può individuarsi nel responsabile per la protezione dei dati di una delle parti oppure in qualsiasi altra figura aziendale) per l’interessato.
Concentrandosi brevemente sulla figura del punto unico di contatto, vanno sottolineati alcuni aspetti che aiutano a comprendere meglio la contitolarità nel sistema della protezione dei dati. Innanzitutto, va sottolineato che questa figura è facoltativa. Infatti l’articolo 26 al terzo paragrafo, riconosce all’interessato la facoltà di rivolgersi a qualsiasi contitolare per avere chiarimenti o far valere i propri diritti inerenti al suo status di contitolare. Pertanto, anche qualora i contitolari di un dato decidano di accordarsi mediante Data Co-Controller Agreement per dividersi in maniera netta le proprie responsabilità designando un punto unico di contatto, il Regolamento riconosce all’interessato, e ai diritti che gli competono, una gerarchia valoriale superiore rispetto agli accordi sottoscritti dai contitolari.
Alla luce di quanto scritto sopra, appare evidente che la centralità dei diritti di cui è portatore il titolare sono in primo piano rispetto agli accordi interni. Questo rispecchia in pieno la portata generale di tutto il Regolamento, ponendo l’interessato che cede i suoi dati in una posizione di tutela primaria rispetto a chi detiene la titolarità o la contitolarità.
Da ciò deriva che un contitolare, di fronte ad un diritto leso ai danni dell’interessato, potrebbe rispondere in solido nei confronti di quest’ultimo, anche qualora non sia stato lui stesso a violare il Regolamento. Ovviamente rimane intatto, come previsto dall’ordinamento interno, il diritto di rivalsa nei confronti delle altre parti. In quest’ottica appare evidente che il Data Co-Controller Agreement ha efficacia “inter-alios” anche qualora le clausole presenti nel contratto disciplinino la responsabilità in merito a violazioni del Regolamento. Nonostante ciò, appare consigliabile che i contitolari inseriscano, all’interno dell’accordo, clausole contrattuali che disciplinino la responsabilità delle parti, modo tale da esperire il diritto di rivalsa solo ed esclusivamente per il contitolare responsabile della lesione (ovviamente tale questione diventa pregnante laddove i contitolari siano più di due).
L’altra questione che merita di essere analizzata riguarda le finalità e i mezzi del trattamento. Dalla lettura dell’articolo 26GDPRsembrerebbe che i contitolari decidano congiuntamente. Questa situazione mette in luce una finalità teleologica della contitolarità fine solo ed esclusivamente ad un’unità di intenti anche per quanto riguarda le finalità e i mezzi. Tuttavia, il dettato normativo del GDPR non preclude ad una diversa finalità tra le parti contitolari. Pur non essendoci giurisprudenza sul tema, va richiamato il parere 1/2010 sui concetti di “responsabile del trattamento e incaricato del trattamento” [1]del “Gruppo di lavoro articolo 29”. Partendo dal concetto che, accanto alla contitolarità, può sussistere anche la corresponsabilità vediamo che il parere riconosce una “responsabilità plurima”[2] che non può essere inquadrata in un sistema chiuso, tipicizzato. Il “Gruppo di lavoro articolo 29” lascia aperte a diverse relazioni di contitolarità funzionale che si concretizza in forme diverse e non tipiche. Saranno le diverse clausole dell’accordo a permettere una olricostruzione pragmatica della contitolarità nell’esperienza contrattuale che le parti decidono di sottoscrivere.
Quello che merita di essere sottolineato è il parere[3] dato dal Gruppo di Lavoro articolo 29 sulla precedente normativa in materia di protezione dati (Dir. UE 46/1995). In concreto era sorta una questione di legittimità sul trattamento dei dati che SWIFT (Society for Worldwide Interbank Financial Telecommunication) faceva su richiesta degli istituti bancari europei, i quali utilizzavano la piattaforma messa a disposizione di SWIFT per transazioni internazionali dei propri clienti. SWIFT, conservava questi dati all’interno di un Database situato negli Stati Uniti e comunicava gli stessi dati al Dipartimento degli Stati Uniti d’America, senza esplicito consenso degli istituti bancari europei. Il Gruppo di Lavoro, investito sul tema da parte degli istituti bancari, ha risolto inquadrato la questione riconoscendo a SWIFT la contitolarità del dato e non riconoscendogli il ruolo di “responsabile del trattamento” :“Sebbene la SWIFT si presenti come responsabile del trattamento dei dati, e alcuni elementi possano suggerire che in passato la SWIFT abbia agito, in certi casi, come responsabile del trattamento per conto degli istituti finanziari, il gruppo di lavoro, considerato l’effettivo margine di manovra di cui dispone la SWIFT nelle situazioni descritte in precedenza, ritiene che la SWIFT sia titolare del trattamento dei dati ai sensi dell’articolo 2, lettera d) della direttiva, per quanto riguarda al tempo stesso il normale trattamento dei dati personali nell’ambito del suo servizio SWIFTNet nonché i trattamenti ulteriori consistenti nel trasferire i dati personali all’UST.”[4]
Dott. Benedetto Fucà
[1] Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1791922 Pag.19 e ss.
[2] Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1791922, pag.18
[3] Parere 10/2006 sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1607808
[4] Parere 10/2006 sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1607808, pag. 13
