Gli appalti sono il settore in cui ritroviamo più di frequente molta confusione rispetto ai ruoli privacy dei soggetti coinvolti.
La soluzione “Committente = Titolare del trattamento” e “Fornitore = Responsabile (ai sensi dell’art. 28 GDPR)” non è sempre quella corretta. Questa confusione non è sfuggita al Garante francese, il quale ha recentemente pubblicato delle linee guida che ci consegnano indicazioni utili per ragionare con più consapevolezza sui ruoli e, di conseguenza, scrivere accordi contrattuali più corretti. Il tema dei contratti di fornitura in generale, però, è un argomento già affrontato: l’European Data Protection Board (EDPB) ha emanato le Linee Guida 07/2020 che fanno da cornice al documento del Garante Francese e da cui è necessario partire.
Indice
Le nozioni dell’EDPB di titolare, contitolare e responsabile
Sui concetti dei ruoli principali del GDPR, l’European Data Protection Board (EDPB) ha emanato le Linee Guida 07/2020. In particolare, l’obiettivo delle Linee Guida è chiarire meglio i concetti di Titolari e Responsabili del trattamento ai sensi del GDPR per delineare ruoli e responsabilità nell’ambito della protezione dei dati personali. La rilevanza di questo documento è soprattutto sugli esempi pratici riportati dall’EDPB che chiarificano molte situazioni borderline, come, ad esempio nei gruppi societari.
Infatti, l’individuazione corretta dei ruoli dei soggetti coinvolti in un rapporto contrattuale è uno degli aspetti più critici da applicarsi sia per le imprese che per noi consulenti. Nel contratto tra le parti i ruoli spesso non sono definiti o non sono definiti correttamente o semplicemente nella maggior parte dei casi applicare la corretta definizione non è così semplice.
Vediamo i punti salienti delle Linee Guida.
Innanzitutto, l’assunzione del ruolo di Titolare, Contitolare o Responsabile dovrebbe derivare da un’analisi delle disposizioni normative e/o dalle circostanze fattuali da cui si può dedurre il grado di influenza che il soggetto esercita sul trattamento di dati personali.
Ripercorriamo brevemente le definizioni.
Per TITOLARE si intende l’attore che ha determinato il “perché” del trattamento e “come”, cioè quali mezzi essenziali devono essere impiegati. Per l’EDPB, esempi di mezzi essenziali del trattamento sono
- il tipo di dati personali che vengono trattati
- la durata del trattamento
- le categorie di destinatari
- le categorie di soggetti interessati.
Per CONTITOLARE si intende colui che determina congiuntamente ad altro/i Titolare/i gli elementi di cui sopra. La situazione di Contitolarità si verifica ad esempio quando
- la determinazione degli scopi e dei mezzi del trattamento è frutto di decisioni convergenti e
- il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento svolto da ciascuna di esse è indissolubilmente legato.
Per RESPONSABILE si intende colui che:
- è un’entità separata dal Titolare
- effettua il trattamento dei dati personali per conto del Titolare del trattamento, nel senso di “servire l’interesse di qualcun altro” secondo il concetto legale di delega
- svolge il trattamento su istruzione del Titolare.
Al Responsabile può essere demandata la scelta dei mezzi non essenziali del trattamento, come la scelta di un particolare tipo di hardware o software o dettagliate misure di sicurezza.
Per TERZO si intende un soggetto diverso :dall’interessato, dal Titolare, dal Responsabile e dagli autorizzati.
Per DESTINATARIO si intende il soggetto diverso dalle Autorità pubbliche a cui vengono comunicati i dati personali, indipendentemente dal fatto che si tratti di un terzo o meno.
La responsabilità dei diversi attori nell’ambito degli appalti pubblici
Nel settore pubblico la problematica diventa ancor più complessa.
Le amministrazioni, infatti, spesso affidano a fornitori di servizi determinate attività come ad esempio: servizi extrascolastici, la fornitura di servizi idrici e di trasporto.
Per l’esecuzione di tali contratti, i fornitori sono tenuti a trattare dati personali, in particolare dati relativi al personale o agli utenti del servizio pubblico. Tali operazioni di trattamento devono necessariamente essere effettuate nel rispetto di quanto previsto dal GDPR, che stabilisce, a beneficio degli interessati (cittadini, dipendenti del pubblico servizio, ecc.), precisi obblighi da osservare a carico degli enti come:
- la determinazione delle finalità del trattamento;
- garantire che la raccolta dei dati sia il più specifico possibile minimizzando le quantità e limitandola ai soli dati necessari;
- garantire la sicurezza dei dati e stabilire regole per limitare la conservazione degli stessi;
- garantire il rispetto dei diritti delle persone.
Nell’ambito degli appalti pubblici, stabilire se questi obblighi ricadano sull’amministrazione o sul fornitore del servizio non è immediato.
La CNIL (Commission nationale informatique e libertés) ha redatto una guida rivolta ai professionisti operanti nel settore pubblico “La responsabilitè des acteurs dans le cadre de la commande publique” atta a fornire gli elementi da prendere in considerazione per poter determinare le responsabilità e le conseguenze giuridiche che derivano dalla qualifica di “Titolare”, “Contitolare del trattamento” o “Responsabile” nell’ambito degli appalti pubblici.
I criteri di determinazione delle responsabilità individuati dalla CNIL
Naturalmente le considerazione e i ragionamenti della CNIL partono da quanto già precisato dall’EDPB nelle proprie Linee Guida, applicandoli però al delicato e particolare settore degli appalti.
La CNIL stabilisce che gli organismi interessati devono analizzare i fatti in modo concreto e tenere conto dei criteri di assegnazione delle responsabilità stabiliti dal GDPR sin dalla fase di redazione dei contratti. Questa riflessione dev’essere condotta prima della conclusione dell’appalto o della concessione, pertanto nella maggior parte dei casi è necessaria un’analisi contestuale e deve essere realizzata analizzando trattamento per trattamento.
Sono i documenti contrattuali (come, ad esempio, i bandi di gara) che definiscono la necessità del trattamento i principali strumenti in grado di guidare l’analisi: sono infatti tali da rivelare chi ha esercitato un’influenza decisiva sugli obiettivi e sulle condizioni di attuazione del trattamento.
Se un contratto viene stipulato per rispondere ad una necessità di un’amministrazione e poi eseguito sotto il controllo di quest’ultima, fa logicamente pensare che l’operatore economico in questo caso attui un trattamento come Responsabile per conto dell’amministrazione in questione.
Tuttavia, questa circostanza da sola non consente di qualificare in ogni caso l’amministrazione come titolare del trattamento.
Gli orientamenti del EDPB sottolineano che i prestatori che trattano tali dati per soddisfare i contratti che li legano ai loro clienti, non sono necessariamente responsabili ai sensi del GDPR: a volte sono pienamente titolari dei trattamenti che eseguono per offrire i loro servizi a un cliente.
Sono la natura del servizio richiesto nell’appalto o nella concessione e il fatto che le principali componenti di uno o più trattamenti di dati sono state inquadrate che determineranno se le operazioni di trattamento in questione sono state sufficientemente decise dall’amministrazione e ne determinano la sua titolarità. La decisione di quest’ultima deve vertere non solo sulla finalità del trattamento (che è generalmente il caso in quanto legato all’oggetto dell’appalto) ma anche sui suoi mezzi essenziali: quali persone e dati sono interessati, qual è la durata di conservazione, quali sono i destinatari?
In pratica, l’amministrazione potrà essere qualificata come titolare del trattamento quando:
- l’oggetto stesso del contratto è l’attuazione di un trattamento di dati, le cui caratteristiche sono inquadrate al suo interno;
- l’amministrazione ha richiesto, nell’ambito della fornitura del bene, del servizio o dei lavori previsti dal contratto, la diffusione del trattamento, indicandolo nel capitolato d’oneri che definisce la natura e l’entità dei bisogni da soddisfare;
- l’amministrazione ha prestato particolare attenzione alle finalità e alle condizioni del trattamento dei dati personali, convalidando quelle proposte dall’operatore economico.
Qualora risulti, alla luce degli sviluppi precedenti, che nessuna responsabilità del GDPR può essere attribuita all’amministrazione, il fornitore avrà necessariamente la qualità di unico titolare del trattamento dei dati.
Se risulta invece che una responsabilità GDPR deve essere attribuita all’amministrazione, quella dell’operatore economico avrà la natura di:
- Contitolare del trattamento se ha anche partecipato all’identificazione degli obiettivi e delle caratteristiche essenziali del trattamento attuato, esercitando un’influenza decisiva su questi ultimi; spetterà allora a lui vigilare, in collegamento con l’amministrazione, al rispetto dell’insieme delle disposizioni del regolamento GDPR, in particolare dei grandi principi di protezione dei dati;
- Responsabile del trattamento se non persegue uno scopo o un proprio interesse e tratta i dati all’interno del rigoroso quadro definito dall’amministrazione; gli obblighi che dovrà osservare sono quelli stabiliti dall’art. 28 del GDPR sicuramente meno onerosi rispetto al caso precedente,(non dimentichiamo inoltre che ai fornitori che trasferiscono dati verso paesi terzi all’U.E occorre applicare le c.d SCC per un approfondimento rimandiamo al nostro articolo: Gestione dei fornitori che trattano dati: ultimi aggiornamenti dalla Commissione europea).