La tirannia del titolare del trattamento
Con il Regolamento UE 2016/679 (“GDPR”) è stata introdotta una normativa che, in realtà, semplifica molti aspetti nel settore, ma che una parte consistente – e non necessariamente autorevole – di coloro che hanno esposizione sui media e sui social, ha voluto battezzare come pietra miliare della privacy, presentandola, peraltro, come contorta e pericolosa in termini sanzionatori.
Molti dei tratti caratteristici del GDPR riguardano il metodo; quando, nel corso di una delle mie lezioni, illustro il Regolamento, sono solito disegnare una linea, sulla quale, ad un dato punto, traccio una tacca: ciò, per spiegare che il GDPR, rispetto alla direttiva e alle relative norme attuative, sposta in avanti il momento del controllo (la tacca, appunto), comunicando a chi lo deve applicare: “implementa la sicurezza dei dati come ritieni opportuno, poi l’Autorità o l’interessato condurranno i propri controlli o eserciteranno i propri diritti”.
Ai fini del GDPR non è rilevante se la tua password sia di otto caratteri o di dodici, l’importante è che il tuo sistema non venga violato o, per lo meno, che il sistema sia pensato per abbattere i rischi che incombono sui trattamenti dei dati personali e, quindi, sui diritti fondamentali degli interessati.
Nel caso del rapporto tra un titolare e i terzi che trattano i dati, operando per lui, con lui, al suo posto, ho osservato un fenomeno che desta qualche preoccupazione: è come se si creasse una sorta di cortocircuito, tale per cui, nel rapporto con i terzi, viene individuata la maggior vulnerabilità/fonte di criticità dell’intero sistema.
Il titolare, perfetto e preciso nel proprio sistema di trattamento dei dati, vuole evitare che un terzo, pasticcione, rappresenti un “buco” – e possa quindi costituire un pericolo – nella propria muraglia di sicurezza.
D’altro canto, il Titolare cerca di semplificare (ma in modo grossolano), standardizzando, senza prima analizzare adeguatamente i trattamenti al fine di distinguere tra quelli condotti in prima persona e quelli condotti attraverso terzi.
Sovente, quando mi trovo a supportare enti che sono nella posizione di “Responsabili del trattamento”, mi capita che mi venga sottoposta la corrispondenza proveniente dai diversi Titolari, o presunti tali, contenente proposte di “accordo”, ove il titolare chiede al Responsabile di rendergli noto quali dati tratta e quali trattamenti conduce, oppure impone l’adozione della cifratura del dato, pur in presenza di trattamenti a basso rischio per i diritti e le libertà fondamentali degli interessati.
Altro errore ricorrente – che sembra dettato dalla paura, dall’arroganza o, forse, dall’ignoranza – è quello per cui si bollano tutti come propri “Responsabili del trattamento”, senza tentare interpretazioni e senza cercare di analizzare in maniera corretta la tutt’altro che banale locuzione che parla di “titolare come colui che determina mezzi e finalità del trattamento.”.
Da qui, il proliferare di lettere di minaccia del tenore: “se non accetti l’accordo interrompiamo il contratto”, oppure “devi dirmi quali misure adotti a protezione dei dati che non tratti” e via dicendo.
Ammetto che tutto ciò trae origine, tra l’altro, dal fatto che l’Autorità di controllo non ha preso tempestivamente una serie di decisioni, seppure per motivi spesso comprensibili.
I titolari e i responsabili hanno bisogno di sapere se determinate figure sono sempre, e comunque, in una certa posizione (cosa opinabile), o se le clausole unilaterali di Microsoft, quando dice “se sono tuo Responsabile del trattamento seguo le seguenti condizioni”, rappresentano un’accettabile interpretazione del concetto di “accordo scritto”; oppure se, quando un titolare dice: “o accetti le mie condizioni o niente, non intendo ascoltare le tue obiezioni”, tale atteggiamento sia riconducibile al concetto di “accordo” di cui parla il Regolamento.
Tornando alla definizione adottata nel Regolamento, in essa si parla di “determinazione”, da parte del titolare, di mezzi e finalità.
Ora, il parere del 2010, ancora oggi riferimento quasi unico nel panorama interpretativo, si sofferma sul significato del verbo “determinare”, per come è stato utilizzato nella normativa de qua.
Il fatto che un “ente” determini il trattamento, si stabilisce principalmente sulla base di elementi “fattuali” o dalle circostanze del caso, rispondendo inizialmente alle seguenti domande “Qual è la ragione del trattamento?” e “Chi lo ha iniziato?”.
L’autorevole Opinion prosegue osservando che “un criterio puramente formale non sarebbe sufficiente per almeno due ragioni: in alcuni casi la designazione ufficiale – prevista ad esempio in un contratto […] – verrebbe a mancare; in altri casi tale designazione ufficiale potrebbe non rispecchiare la realtà.”.
Analoghe considerazioni che il Gruppo ex Articolo 29 ha formulato a proposito dell’attribuzione della figura di Responsabile del trattamento (attenzione, il Gruppo intendeva il nostro “Titolare”), possono essere richiamate, per analogia, quando si decide di costringere un ente ad essere nostro “Processor” (individuando noi come Titolari), malgrado questo determini “mezzi e finalità”.
Nel caso SWIFT, ad esempio, benché SWIFT sia stata considerata “incaricato” del trattamento, la “designazione contrattuale” non permette, in realtà, sempre secondo la Opinion del 2010, di stabilire in modo definitivo lo status effettivo, che invece deve essere basato su circostanze concrete.
Il Gruppo ex articolo 29 prosegue dicendo che può accadere che il contratto che regola i rapporti tra le parti sia esplicito riguardo l’individuazione di chi sia “Titolare” e di chi ricopra il ruolo di “Responsabile del trattamento”; in questo caso, viene chiarita una condizione per assecondare quanto espresso nel contratto ovvero “se non vi sono ragioni di dubitare che le clausole interessate rispecchino accuratamente la realtà dei fatti”.
Queste considerazioni sembrano non lasciare dubbi circa l’inidoneità delle designazioni “unilaterali”, “sovrabbondanti” e “automatiche”.
In ultimo, per individuare i “ruoli” nell’ambito della protezione dei dati, l’Opinion indica elementi come il “controllo generale esercitato da una parte”, “l’immagine data agli interessati” e “il legittimo affidamento degli interessati sulla base dell’immagine data”.
Il fatto, poi, che sotto la vigenza dell’articolo 29 del d.lgs. 30 giugno 2003, n. 196, il ruolo di Responsabile del trattamento sia stato attribuito, magari, con una certa faciloneria, non significa che in automatico la figura debba essere convertita nel Responsabile ex articolo 28 del GDPR.
Insomma, diffidate dall’uso di facili ragionamenti e aprite un confronto con gli interlocutori, per comprendere i ruoli di ciascuno; oggi, anche grazie al GDPR, le risorse per analizzare in modo accurato e non frettoloso le posizioni dei diversi player, in relazione a quanto previsto dal Regolamento UE 2016/679, ci sono, eccome (molti hanno un RPD o comunque almeno una risorsa specializzata).
Articolo a cura di Riccardo Abeti
Avvocato e consulente in materia di diritto delle nuove tecnologie, informatica giuridica, protezione dei dati, responsabilità amministrativa degli enti (d.lgs. 231/01), anticorruzione e trasparenza e partner di EXP legal.
Da 19 anni supporta i clienti tanto nell’adempimento degli obblighi previsti dalla normativa di settore, quanto nell'ottimizzazione dei flussi informativi.
Docente per master e workshop per la formazione di Data Protection Officer, Professionisti della protezione dei dati e Privacy Officer e relatore in importanti eventi di livello nazionale (SMAU, e-privacy, OMAT, Security Summit, …).
Presidente della Commissione “New Technology, Personal Data and Communication Law” dell’Unione Avvocati Europei nonché membro eletto del Comitato esecutivo della stessa associazione.