Il 7 settembre 2020 sono state finalmente pubblicate le linee guida n. 7/2020 dell’EDPB sui ruoli di trattamento, che sostituiscono, alquanto tardivamente, la storica opinione 1/2010 dell’ex Gruppo di lavoro 29. L’occasione è dunque propizia per tracciare un primo quadro d’insieme e cercare di rispondere alle due naturalissime domande che si pongono: che cosa cambia rispetto al passato? Vengono sciolti i numerosi problemi concreti che notoriamente affliggono nella prassi l’individuazione dei ruoli?
Prima di entrare in discorso, è d’obbligo una piccola avvertenza: il documento è in pubblica consultazione fino al 19 ottobre 2020, dunque potrebbe presentare a posteriori qualche cambiamento. Modesto. Appaiono infatti improbabili modifiche sostanziali, particolarmente in questa materia.
Gli approcci al nuovo testo sono molteplici, qui di seguito se ne propone uno che individua tre corpi fondamentali nelle linee guida: la conferma dell’assetto sostanziale della precedente opinione, sia pure in chiave rinnovata; il recepimento della giurisprudenza della Corte di giustizia UE; l’aggiunta di un ampio esame sugli strumenti giuridici connessi con l’individuazione dei ruoli, in primo luogo il contratto titolare-responsabile ex art. 28 GDPR e l’accordo di contitolarità ex art. 26 GDPR. Esaminiamo rapidamente nell’ordine questi tre corpi.
Nel solco dell’opinione 1/2010
I concetti di titolare, contitolare, responsabile del trattamento non sono mutati dalla direttiva 95/46, non possono dunque esserne mutati i connotati definitori; ciò che è diverso è l’ordine e il nitore del ragionamento. Il nuovo testo costruisce sul vecchio, ma lo fa con un apporto di logica e di chiarezza. Spiccano in apertura due concetti preziosi, non certo inediti, ma ben esposti: sono le due chiavi di volta da tenere ferme nell’interpretazione dei ruoli:
- funzionalità, ossia il ruolo è da intendersi come relativo alla specifica attività di trattamento svolta, non è dunque assoluto. Il principio, normalmente accettato, ha in realtà conseguenze tutt’altro che banali. Siamo per esempio sicuri – ci permettiamo di chiosare – che l’avvocato sia sempre un titolare di trattamento? Il collega incaricato di procedere a una notifica o a un ritiro in cancelleria lo sarà ben difficilmente, eppure questa prospettiva sorprende perché si è abituati a ossificare le categorie professionali (avvocato, commercialista, consulente del lavoro…) entro i ruoli di titolare e responsabile. I modelli sono comodi in generale, ma solo quali “rule of thumb”, da filtrare in ultima analisi con il criterio funzionale;
- autonomia, nel senso di indipendenza da concetti di titolarità formulati in altre aree del diritto: civile, proprietà intellettuale, concorrenza, ecc.. Non che il complessivo assetto dei rapporti giuridici tra le parti, e dunque anche il coinvolgimento di altre aree del diritto, non sia utile a individuare i ruoli di trattamento: soltanto, vanno evitate trasposizioni automatiche, perché risulterebbero depistanti, la protezione dei dati personali è materia con logica propria.
I contributi più interessanti del nuovo testo riguardano la nozione di contitolarità, che nell’opinione 1/2010 risultava invero molto ruvida e quasi ancora in bozza. Ora è più lucida, compartimentata, corredata di esempi, e tuttavia forse non ancora del tutto a fuoco, almeno non ancora nella maniera ampia che sarebbe desiderabile. In questo l’interprete non può non ravvisare motivo di insoddisfazione. In effetti, poche tematiche risultano nella pratica tanto complesse come l’individuazione della linea sottile che, talvolta, corre tra titolarità autonoma e contitolarità.
È interessante comunque l’abbandono degli sparpagliati assetti con cui in passato si cercava di catturare le forme fluide della contitolarità e la loro sostituzione, piuttosto, con due categorie classificatorie in apparenza più solide concettualmente, o quantomeno più lineari, quella della “decisione comune” e quella delle “decisioni convergenti”. Queste ultime sono tali quando i decidenti risultano “inscindibilmente connessi” (“inexstricably linked”), sulla scorta dell’apporto della giurisprudenza della Corte di giustizia UE. Ora, “inscindibilmente connessi” è una di quelle espressioni talismaniche per il privacyista, ogni volta sembra intuitiva, salvo poi lasciare all’interprete il duro compito di calarla dal mondo delle idee ai rapporti multiformi della vita reale.
Sotto altro verso, è molto apprezzabile, ancorché non nuovo, l’accento sul beneficio comune che è insito nella contitolarità e che è utile distinguere dal mero beneficio economico consistente nel venire pagati per una prestazione: l’osservazione, solo apparentemente ovvia, separa bene il contitolare dal fornitore-responsabile del trattamento.
Quanto a tale ultimo ruolo, non costituisce innovazione delle linee guida l’avere ribadito che il responsabile è entità giuridica separata dal titolare del trattamento (era ribadito almeno tre volte già nell’opinione 1/2010) e che dunque giammai un dipendente può essere responsabile del trattamento: l’auspicio è che si estingua con ciò la nozione di responsabile “interno”, che resiste in alcune isolate nicchie come i “soldati fantasma” giapponesi, e con essa l’espressione, evidentemente correlata alla prima, ma questa volta di ampia persistenza, di responsabile “esterno”.
Sempre in tema di responsabili di trattamento, si registra un’eccellente precisazione, una di quelle fondamentali, ossia che fornire un servizio non equivale a collocarsi nel ruolo di responsabile. Ciò era già indicato nelle linee guida su data controllers e data processors del 2014 dell’ICO, ossia l’omologo britannico del nostro Garante, ma il concetto, assolutamente condivisibile e infatti ampiamente condiviso, non si trovava ancora espresso con sufficiente nettezza nell’opinione 1/2010. L’auspicio, anche in questo caso, è di uscire da quelle categorie mentali fisse che portano ad applicare automaticamente il ruolo di responsabile del trattamento a ogni fornitore di servizio.
I nuovi apporti della giurisprudenza eurounitaria
Tra gli avanzamenti concettuali recepiti mutuandoli dalla giurisprudenza della Corte di giustizia va menzionata una nozione di titolarità molto ampia, e appunto autonoma da quella civilistica. Sostanzialmente la titolarità prescinde da una forma giuridica e tende a essere ravvisata in un qualsiasi centro d’imputazione di interessi inteso nel senso di fonte decisionale sul trattamento. La base di questa considerazione è la pronuncia Tietosuojavaltuutettu v Jehovan todistajat, C-25/17, nella quale una comunità religiosa è stata considerata (con)titolare del trattamento.
Altri apporti significativi, nella breve rassegna permessa da queste righe, riguardano l’individuazione di una contitolarità tra il fornitore e l’utilizzatore di plug-in social o di strumenti di analisi statistica in ambito social: il richiamo è alle sentenze Fashion ID, C-40/17, e Wirtschaftsakademie, C-210/16. Colpisce, tuttavia, l’acquisizione pedissequa delle decisioni della Corte, che piacerebbe pur leggere in chiave di analisi critica.
Gli strumenti giuridici conseguenti ai ruoli
Le linee guida forniscono anche una piccola guida pratica su come redigere il contratto ex art. 28 GDPR e l’accordo di contitolarità ex art. 26 GDPR.
Le due stipulazioni, ma in particolare la prima, dovrebbero includere ulteriori previsioni rispetto a quelle di base necessarie elencate dal legislatore. L’integrazione è in effetti comune nella prassi, e trova una ragione concreta per esempio nell’utilità di disciplinare in modo preciso la gestione di un personal data breach; tuttavia, che l’integrazione costituisca un obbligo, come sembra indicare l’EDPB, anziché un onere, non convince.
Neppure si tratta di soluzione pratica, dal momento che l’accordo titolare-responsabile va replicato a cascata tra responsabile-subresponsabili, ed evidentemente tanto più si personalizza il primo modello tanto meno diventa possibile conformarvi i secondi. Le catene, per funzionare, hanno necessità di standard. E del resto le condizioni contrattuali modello ex art. 28.7 GDPR, ossia quelle che potremmo chiamare “SCC 28”, costituiscono una modalità espressamente prevista dal legislatore europeo e caldamente attesa.
Vero che l’identità dei contratti con i sub-responsabili non è da intendere verbatim, ma funzionalmente (questo in sostanza si legge al § 157 delle linee guida), tuttavia non ci si illuda che tale precisazione sia sufficiente in concreto.
Molto opportune le notazioni pratiche: ad esempio, quella di allegare al contratto ex art. 28 la lista dei sub-responsabili o quella di rimettere ai contitolari la valutazione se rendere pubblicamente disponibile all’interessato, oppure disponibile solo su richiesta, il contenuto essenziale del loro accordo.
Vengono sciolti i problemi presenti nella prassi?
Difficile dirlo, ma la sensazione è che si sia osato troppo poco. Anche negli apparati. Ad es., la flowchart finale risponde certamente a una buona idea, tuttavia al momento è difficile valutarne l’effettiva utilità, l’approccio infatti pare, almeno di primo acchito, eccessivamente semplificato. Sarebbe stato utile inoltre corredare le linee guida di una rassegna di casi nazionali concreti, a parte quelli, comunque pochi, della Corte di giustizia.
Vero che soccorrono gli esempi, astratti (anche se verosimilmente estrapolati da fattispecie concrete), ma molto utili, come già lo erano nell’opinione 1/2010. Deve notarsi che ne sono stati aggiunti di nuovi (ad esempio quello in materia di co-branding rispetto ai contitolari), che molti sono stati confermati, ma che una certa porzione di essi non ha fatto ingresso nelle linee guida. Sarebbe allora particolarmente utile, rispetto a questi ultimi, comprendere se si tratta di un sopravvenuto disconoscimento o di una mera omissione. C’è in positivo da rilevare nel testo attuale, rispetto all’opinione dell’ex Gruppo 29, che la struttura di analisi giuridica sottostante, come già notato, è oggi assai più stringente e solida, dunque permette un migliore affrancamento dagli esempi, come in effetti dovrebbe di regola essere
Tra le ragioni di perplessità va registrato anche l’abbandono di alcuni criteri utili in passato, e sui quali sono stati anche costruiti provvedimenti di autorità di controllo nazionali, come quello dell’affidamento dell’interessato, ossia la percezione che l’interessato ha dell’effettivo titolare (“Visibility/image given by the controller to the data subject, and expectations of the data subjects on the basis of this visibility” nella vecchia opinione del 2010). Il punto non viene ripetuto nelle linee guida. Si intende pertanto abbandonato? E in tal caso perché?
Sul versante positivo, invece, risulta molto apprezzabile il chiarimento che riguarda tutte quelle attività, tipicamente di manutenzione occasionale o di servizio su beni materiali (es. attività di pulizia svolta da terzi), nelle quali il trattamento di dati è di regola escluso e può verificarsi solo per incidente: non vengono qui in considerazione né responsabili del trattamento né titolari. Il punto riceve da tempo convergenze in dottrina, tuttavia non risultava del tutto pacifico e induceva talvolta a ripiegare su soluzioni difensive.
Gli spunti d’interesse nelle linee guida sono in realtà assai più numerosi di quelli che è stato possibile toccare in questa veloce rassegna. Ad esempio, si segnalano le osservazioni relative ai gruppi di imprese, quelle sulla responsabilità connessa alla sottoscrizione acritica di contratti di fornitura di servizi (es. cloud), quelle in merito al ruolo di titolare assunto dall’autorizzato che esonda dal proprio perimetro (con ripercussioni di enorme impatto pratico), caso questo invero già affrontato nell’opinione 1/2010 ma lasciando implicite le conseguenze.
Articolo di Enrico Pelino, avvocato e partner dello studio legale Grieco Pelino Avvocati