Individuare i soggetti coinvolti nel trattamento dei dati e il loro ruolo è il primo passo per la corretta gestione della privacy. Per questo motivo, dopo aver chiarito la distinzione tra responsabile esterno del trattamento e terze parti, oggi faccio un passo indietro e mi concentro sulla distinzione tra titolare del trattamento, cotitolare e responsabile esterno.
Chi è il titolare del trattamento
Il titolare è il soggetto che ha potere decisionale in merito alle finalità e ai mezzi del trattamento e li determina. La sua individuazione è operativa, cioè si tratta di verificare chi in termini pratici definisce finalità e mezzi (tecnici e organizzativi) del trattamento dei dati personali, a prescindere da designazioni o altri incarichi formali.
Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati personali che vengono trattati per essere qualificato come tale, l’elemento determinante è la sua influenza sul trattamento. Per esempio l’affidamento di operazioni di trattamento specifiche (ex. gestione delle buste paga) o della gestione della sicurezza (ex. incarico a un società di consulenza informatica) ad altri soggetti è un elemento che conferma il ruolo apicale del soggetto e contribuisce alla sua individuazione quale titolare del trattamento.
Chi è il cotitolare del trattamento
La definizione di titolare del trattamento contenuta nell’art. 4.7 del GDPR prevede la possibilità che finalità e mezzi del trattamento dei dati personali siano determinati da più soggetti contemporaneamente. I soggetti (due o più) che risultano coinvolti in una o più attività di trattamento degli stessi dati personali e ne determinano congiuntamente le finalità e i mezzi assumono la qualifica di contitolari. Se manca la condivisione della finalità e dei mezzi (essenziali) non vi è contitolarità ma vi saranno rapporti tra titolari autonomi o tra titolare e responsabile esterno.
Alcuni dettagli per riuscire a mettere a fuoco la cotitolarità:
- la mera esistenza di un beneficio economico o commerciale comune tra le parti non è sufficiente per determinare la cotitolarità del trattamento;
- la partecipazione congiunta può assumere la forma di una decisione comune o derivare dalla convergenza delle decisioni assunte (le decisioni si completano a vicenda e sono
necessarie ai fini della realizzazione del trattamento e della definizione di finalità e mezzi); - il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti,
nel senso che il trattamento di un soggetto è inscindibile da quello dell’altro cotitolare; - la compartecipazione rispetto alle finalità del trattamento può manifestarsi sia come condivisione di un stesso obiettivo sia nella complementarietà di obiettivi distinti;
- per quanto riguarda i mezzi, la determinazione comune può riguardare alcuni e non tutti i mezzi, anche in fasi distinte dell’attività di trattamento nel suo complesso. I mezzi che determinano la cotitolarità sono quelli essenziali al trattamento (distinguendoli rispetto a mezzi non essenziali o accessori).
Chi è il responsabile esterno del trattamento
Il responsabile esterno è “la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che tratta dati personali per conto del titolare del trattamento“. Si tratta cioè di un soggetto a cui il titolare si rivolge perché svolga attività specialistiche che non è in grado o non desidera svolgere direttamente. Nel momento in cui il titolare sceglie di esternalizzare determinati servizi o processi, il titolare consente a un soggetto terzo (cioè diverso dall’interessato, dal titolare e dalla sua struttura organizzativa) di accedere ai dati personali necessari per svolgere le attività che gli vuole affidare.
Perché il responsabile esterno sia tale:
- il soggetto esterno deve trattare i dati personali del titolare operando sotto la sua
autorità, quindi vincolato a standard di prestazione e di comportamento ben definiti nelle istruzioni (data processing agreement) che il titolare è tenuto a fornire al responsabile; - il soggetto esterno può conservare una parziale autonomia nella concreta configurazione del servizio e su alcune scelte tecnico-operative, ma non in merito alle finalità e alle modalità di utilizzo dei dati, che spettano esclusivamente al titolare del trattamento.
Il responsabile esterno ha quindi un ruolo strumentale rispetto alle decisioni del titolare, in caso contrario si tratta di una figura assimilata a quella del titolare.