{"id":6757,"date":"2024-04-22T21:09:59","date_gmt":"2024-04-22T21:09:59","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=6757"},"modified":"2024-04-24T15:23:33","modified_gmt":"2024-04-24T15:23:33","slug":"titolare-o-responsabile-questo-e-il-problema","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","title":{"rendered":"Titolare o responsabile? Questo \u00e8 il problema"},"content":{"rendered":"\n
\n\u00abtitolare del trattamento\u00bb: la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali; quando le finalit\u00e0 e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;<\/p>\n\n\n\n
<\/p>\n<\/blockquote>\n\n\n\n
Il concetto di “titolare del trattamento” \u00e8 fondamentale nel contesto della privacy e della protezione dei dati personali, soprattutto alla luce delle normative come il GDPR (General Data Protection Regulation) dell’Unione Europea. <\/p>\n\n\n\n
<\/p>\n\n\n\n
Per spiegarlo in modo semplice, immaginiamo il titolare del trattamento come il “capitano” di una nave che naviga nel vasto mare dei dati personali.<\/p>\n\n\n\n
Chi \u00e8 il Titolare del Trattamento?<\/strong>
<\/p>\n\n\n\nIn altre parole, \u00e8 chi decide “perch\u00e9” e “come” i dati personali dovrebbero essere trattati. Questo pu\u00f2 essere un’azienda, un’organizzazione, o anche un dipartimento governativo.<\/p>\n\n\n\n
La definizione di titolare del trattamento contiene cinque elementi principal<\/strong>i, che saranno analizzati separatamente ai fini dei presenti orientamenti. Sono i seguenti:<\/p>\n\n\n\n
\n
- “la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo”<\/li>\n\n\n\n
- “determina”<\/li>\n\n\n\n
- “da solo o insieme ad altri”<\/li>\n\n\n\n
- “gli scopi e i mezzi”<\/li>\n\n\n\n
- \u201cdel trattamento dei dati personali\u201d.<\/li>\n<\/ul>\n\n\n\n
Conforme al GDPR, il titolare del trattamento pu\u00f2 essere identificato come “un individuo o un’entit\u00e0 legale, un’autorit\u00e0 pubblica, un’agenzia o qualsiasi altro tipo di organismo”. <\/strong><\/p>\n\n\n\n
Questo indica che non esistono limitazioni specifiche riguardo alla natura dell’entit\u00e0 che pu\u00f2 assumere il ruolo di responsabile del trattamento, potendo essere sia un’organizzazione che un singolo individuo o un gruppo di persone. <\/strong><\/p>\n\n\n\n
Tuttavia, nella pratica, \u00e8 generalmente l’organizzazione stessa, piuttosto che una persona singola all’interno di essa (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione), a svolgere la funzione di titolare del trattamento secondo il GDPR. <\/p>\n\n\n\n
Quando si tratta del trattamento dei dati all’interno di un conglomerato aziendale, \u00e8 fondamentale valutare con attenzione se un’entit\u00e0 opera come titolare o responsabile del trattamento, specialmente nel caso in cui elabori dati per conto dell’azienda capogruppo.<\/p>\n\n\n\n
Garante della Protezione dei dati personali provv. 9.12.1997<\/h3>\n\n\n\n
Il Garante nelle \u201cPrecisazioni sulla figura del titolare\u201d (provv. 9.12.1997) specifica che il riferimento alla persona fisica che compare nella definizione del titolare non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l\u2019ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilit\u00e0 di un\u2019attivit\u00e0 che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell\u2019ambito e nell\u2019interesse di una persona giuridica, di un\u2019impresa o di un ente nel quale ricoprono incarichi di rilievo. <\/p>\n\n\n\n
Chi \u00e8 il Titolare del Trattamento nel contesto di una persona giuridica<\/h4>\n\n\n\n
Nel contesto di una persona giuridica (come un’azienda o un ente pubblico), il “titolare del trattamento” non \u00e8 una singola persona fisica all’interno dell’organizzazione (come l’amministratore delegato o il direttore generale), ma l’entit\u00e0 nel suo complesso. Questo significa che l’intera organizzazione \u00e8 responsabile del trattamento dei dati personali nel rispetto delle leggi sulla privacy.<\/p>\n\n\n\n
Esempio Pratico<\/h4>\n\n\n\n
Immaginiamo una grande azienda farmaceutica, “PharmaCorp”, che raccoglie dati sui pazienti per la ricerca. In questo caso, “PharmaCorp” nel suo complesso \u00e8 il titolare del trattamento. Anche se l’amministratore delegato o il capo del dipartimento di ricerca potrebbero prendere decisioni su come vengono utilizzati i dati, la responsabilit\u00e0 legale e la conformit\u00e0 con le normative sulla privacy ricadono sull’azienda stessa, non su queste singole persone.<\/p>\n\n\n\n
Perch\u00e9 \u00c8 Importante?<\/h4>\n\n\n\n
Questa distinzione \u00e8 cruciale per varie ragioni:<\/p>\n\n\n\n
Responsabilit\u00e0 e Conformit\u00e0<\/strong>: Assicura che l’intera organizzazione sia responsabile della protezione dei dati personali e della conformit\u00e0 con le leggi sulla privacy, promuovendo un approccio olistico e integrato alla gestione dei dati.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Chiarezza nelle Relazioni Esterne<\/strong>: Fornisce chiarezza a chi fornisce i propri dati personali (come i clienti o i pazienti) su chi sia effettivamente responsabile per quei dati, rendendo pi\u00f9 semplice per loro esercitare i loro diritti in materia di privacy (come il diritto di accesso, rettifica o cancellazione dei dati).<\/p>\n\n\n\n
Gestione delle Responsabilit\u00e0<\/strong>: Aiuta a definire chiaramente le responsabilit\u00e0 all’interno dell’organizzazione, assicurando che le politiche e le procedure di protezione dei dati siano implementate a tutti i livelli.<\/p>\n\n\n\n
Quindi, quando si parla di “titolare del trattamento” <\/strong>in contesti organizzativi complessi, \u00e8 importante ricordare che si riferisce all’entit\u00e0 nel suo complesso, e non alle singole persone che operano al suo interno. Questo aiuta a garantire che la gestione dei dati personali sia presa seriamente e che ci sia una chiara responsabilit\u00e0 collettiva per la protezione della privacy.<\/p>\n\n\n\n
In alcuni casi, aziende e istituzioni pubbliche designano un individuo specifico<\/strong> per sovrintendere all’esecuzione delle operazioni di trattamento dei dati. <\/p>\n\n\n\n
Tuttavia, anche se questa persona viene incaricata di assicurare la conformit\u00e0 alle leggi sulla protezione dei dati, non assume il ruolo di titolare del trattamento. Piuttosto, agisce in rappresentanza dell’entit\u00e0 legale (che sia un’azienda o un ente pubblico), la quale rimane l’ultima responsabile per qualsiasi inadempienza alle normative, in qualit\u00e0 di titolare del trattamento.<\/p>\n\n\n\n
Il secondo principio<\/strong> fondamentale che definisce il ruolo di titolare del trattamento riguarda l’autorit\u00e0 di quest’ultimo sul processo di trattamento, attraverso l’esercizio del potere decisionale. <\/strong><\/p>\n\n\n\n
Un titolare del trattamento \u00e8 quindi identificato come l’entit\u00e0 che stabilisce aspetti fondamentali del trattamento dei dati. <\/p>\n\n\n\n
Questa capacit\u00e0 di controllo pu\u00f2 essere assegnata per legge o pu\u00f2 emergere dall’esame delle circostanze specifiche o dei fatti concreti. <\/p>\n\n\n\n
\u00c8 essenziale analizzare le operazioni di trattamento specifiche in esame per determinare chi ne sia responsabile, ponendo particolare attenzione a questioni come <\/p>\n\n\n\n
\n“Perch\u00e9 si sta effettuando questo trattamento?” e “Chi ha deciso che il trattamento dovesse essere intrapreso per uno scopo specifico?”.<\/p>\n<\/blockquote>\n\n\n\n
In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un’entit\u00e0 come responsabile del trattamento deve essere determinata analizzando le circostanze concrete legate al processo di trattamento dei dati. \u00c8 fondamentale considerare tutte le circostanze rilevanti per stabilire se un’entit\u00e0 eserciti un’influenza decisiva sul trattamento dei dati personali in questione.<\/p>\n\n\n\n
Questa necessit\u00e0 di una valutazione basata sui fatti implica che il ruolo di responsabile del trattamento non dipende dalla natura intrinseca dell’entit\u00e0 che tratta i dati, ma dalle sue azioni specifiche in un dato contesto.<\/strong> Ci\u00f2 significa che la stessa entit\u00e0 pu\u00f2 assumere il ruolo di titolare del trattamento per alcune operazioni di trattamento e di responsabile del trattamento per altre, e questa distinzione deve essere valutata in relazione ad ogni singola attivit\u00e0 di trattamento dei dati.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Un esempio classico di soggetto che pu\u00f2 agire sia come titolare del trattamento sia come responsabile del trattamento \u00e8 una societ\u00e0 di consulenza IT che offre servizi di cloud computing e di gestione dei sistemi informativi alle aziende.<\/p>\n\n\n\n
Come Titolare del Trattamento<\/h4>\n\n\n\n
Quando la societ\u00e0 di consulenza IT raccoglie e utilizza dati personali relativi ai propri dipendenti per scopi di gestione delle risorse umane, agisce come titolare del trattamento. In questo contesto, la societ\u00e0 decide le finalit\u00e0 e i mezzi del trattamento dei dati personali dei suoi dipendenti, come l’elaborazione delle buste paga, la gestione delle assenze e delle ferie, e la valutazione delle performance.<\/p>\n\n\n\n
Come Responsabile del Trattamento<\/h4>\n\n\n\n
D’altra parte, quando la stessa societ\u00e0 fornisce servizi di cloud computing a un’altra azienda, agisce come responsabile del trattamento. In questo scenario, la societ\u00e0 di consulenza IT gestisce i dati personali per conto dell’azienda cliente (il titolare del trattamento), seguendo le istruzioni specificate nel contratto di servizio. Questo pu\u00f2 includere l’hosting di database dell’azienda cliente contenenti dati personali, la gestione della sicurezza dei dati, e il supporto nel backup e nel recupero dei dati.<\/p>\n\n\n\n
Valutazione Contestuale<\/h4>\n\n\n\n
La distinzione tra i ruoli di titolare e responsabile del trattamento per la stessa entit\u00e0 dipende strettamente dalle specifiche attivit\u00e0 di trattamento e dalle relazioni contrattuali stabilite con altre parti. \u00c8 fondamentale che questa distinzione sia chiaramente definita e documentata per assicurare la conformit\u00e0 con il GDPR, specialmente in termini di responsabilit\u00e0, obblighi di protezione dei dati, e diritti degli interessati. Questo approccio basato sui fatti garantisce che tutte le parti coinvolte comprendano i loro ruoli e responsabilit\u00e0 nella protezione dei dati personali.<\/strong><\/p>\n\n\n\n
Nella pratica, certe attivit\u00e0 di trattamento dei dati possono essere considerate intrinsecamente connesse al ruolo o alle funzioni di un’entit\u00e0, implicando cos\u00ec una responsabilit\u00e0 diretta in termini di protezione dei dati. Questo pu\u00f2 derivare da normative generali o da pratiche legali consolidate in vari campi (come il diritto civile, commerciale, del lavoro, ecc.). <\/p>\n\n\n\n
In questi casi, i ruoli tradizionali e le competenze professionali che normalmente comportano una certa responsabilit\u00e0 possono facilitare l’identificazione del responsabile del trattamento. <\/p>\n\n\n\n
Quando un’entit\u00e0 gestisce dati personali nell’ambito delle sue interazioni con dipendenti, clienti o membri, \u00e8 generalmente considerata titolare del trattamentoo, in quanto determina gli scopi e i mezzi del trattamento in conformit\u00e0 al GDPR.<\/p>\n\n\n\n
La societ\u00e0 ABC assume uno studio legale<\/strong> per rappresentarla in una controversia. Per svolgere questo compito, lo studio legale deve trattare i dati personali relativi al caso. La ragione del trattamento dei dati personali \u00e8 il mandato dello studio legale di rappresentare il cliente in tribunale. Tale mandato, tuttavia, non \u00e8 specificatamente finalizzato al trattamento dei dati personali. Lo studio legale agisce con un notevole grado di indipendenza, ad esempio nel decidere quali informazioni utilizzare e come utilizzarle, e non ci sono istruzioni da parte dell’azienda cliente in merito al trattamento dei dati personali. I trattamenti che lo studio legale effettua per adempiere all’incarico di legale rappresentante della societ\u00e0 sono quindi legati al ruolo funzionale dello studio legale tanto che lo stesso \u00e8 da considerarsi titolare di tale trattamento.<\/em><\/p>\n\n\n\n
In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un’entit\u00e0 come responsabile del trattamento deve essere determinata analizzando le circostanze concrete legate al processo di trattamento <\/strong>dei dati. \u00c8 fondamentale considerare tutte le circostanze rilevanti per stabilire se un’entit\u00e0 eserciti un’influenza decisiva sul trattamento dei dati personali in questione.<\/p>\n\n\n\n
Il quarto elemento chiave nella definizione di titolare del trattamento si concentra sull’ambito dell’influenza esercitata dal titolare del trattamento, specificatamente sulle “finalit\u00e0 e mezzi”<\/strong> del trattamento dei dati. <\/p>\n\n\n\n
\nI termini “scopo” e “mezzi” sono definiti rispettivamente come il risultato che si intende ottenere o che guida le azioni pianificate, e il metodo attraverso il quale si raggiunge un risultato o si realizza uno scopo.<\/p>\n<\/blockquote>\n\n\n\n
Secondo il GDPR, i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi<\/strong>, e non devono essere successivamente trattati in modo incompatibile con questi scopi. <\/p>\n\n\n\n
Di conseguenza, \u00e8 fondamentale determinare le “finalit\u00e0” del trattamento e i “mezzi” per raggiungerle. Determinare questi aspetti significa decidere il “perch\u00e9” e il “come” del trattamento: per un dato trattamento, il titolare del trattamento \u00e8 colui che ha stabilito il motivo per cui si svolge il trattamento (cio\u00e8, per quale scopo) e come questo obiettivo sar\u00e0 conseguito (cio\u00e8, quali strumenti verranno utilizzati).<\/p>\n\n\n\n
Una persona fisica o giuridica che esercita tale influenza sul trattamento dei dati partecipa cos\u00ec alla definizione delle finalit\u00e0 e dei mezzi del trattamento, secondo quanto previsto dall’articolo 4(7) del GDPR.<\/p>\n\n\n\n
Pertanto, il titolare del trattamento deve stabilire sia le finalit\u00e0 che i mezzi del trattamento. Non pu\u00f2 limitarsi a definire lo scopo, ma deve anche prendere decisioni sulle modalit\u00e0 del trattamento. Al contrario, un responsabile del trattamento non ha il potere di determinare le finalit\u00e0 del trattamento.<\/p>\n\n\n\n
Nella pratica, quando un titolare del trattamento delega a un responsabile del trattamento l’esecuzione del trattamento per suo conto, ci\u00f2 spesso implica che il responsabile del trattamento possa prendere alcune decisioni su come procedere con il trattamento in modo indipendente. <\/p>\n\n\n\n
L’EDPB riconosce che pu\u00f2 esserci spazio per una certa discrezionalit\u00e0 da parte del responsabile del trattamento nel prendere decisioni relative al trattamento. <\/p>\n\n\n\n
\u00c8 quindi importante chiarire quale grado di influenza sul “perch\u00e9” e sul “come” del trattamento qualifichi un’entit\u00e0 come titolare del trattamento e in che misura un responsabile del trattamento possa agire autonomamente nelle decisioni.<\/p>\n\n\n\n
Quando un’entit\u00e0 stabilisce chiaramente le finalit\u00e0 e i mezzi del trattamento, affidando a un’altra entit\u00e0 compiti che equivalgono all’esecuzione delle sue istruzioni dettagliate, la distinzione \u00e8 netta: la seconda entit\u00e0 \u00e8 il responsabile del trattamento, mentre la prima \u00e8 il titolare del trattamento.<\/p>\n\n\n\n
La distinzione tra le decisioni che devono essere prese dal titolare del trattamento e quelle che possono essere delegate al responsabile del trattamento si concentra sulla differenziazione tra i “mezzi essenziali” e i “mezzi non essenziali”<\/strong> del trattamento. Le decisioni sulle finalit\u00e0 del trattamento sono di competenza esclusiva del titolare del trattamento.<\/p>\n\n\n\n
Nel contesto della determinazione dei mezzi, i “mezzi essenziali”<\/strong> si riferiscono a quelli strettamente legati alla finalit\u00e0 e all’ambito del trattamento, e sono tradizionalmente considerati di competenza del titolare del trattamento. Questi includono decisioni su quali dati personali saranno trattati, la durata del trattamento, chi avr\u00e0 accesso ai dati e a chi appartengono i dati trattati.<\/p>\n\n\n\n
D’altro canto, i “mezzi non essenzial<\/strong>i” si occupano degli aspetti pratici dell’implementazione del trattamento, come la scelta del software o dell’hardware specifico o le misure di sicurezza dettagliate, su cui il responsabile del trattamento pu\u00f2 avere discrezionalit\u00e0 decisionale.<\/p>\n\n\n\n
Esempio: Gestione delle buste paga<\/h4>\n\n\n\n
Prendiamo il caso del datore di lavoro A che ingaggia un’azienda esterna per gestire il pagamento degli stipendi ai suoi dipendenti. Il datore di lavoro A fornisce istruzioni dettagliate su chi deve essere pagato, quanto, entro quale data, tramite quale banca, per quanto tempo conservare i dati, e quali informazioni trasmettere all’autorit\u00e0 fiscale, ecc. In questa situazione, il trattamento dei dati \u00e8 svolto allo scopo di pagare gli stipendi dei dipendenti da parte della Societ\u00e0 A, e l’entit\u00e0 che gestisce le buste paga non ha il diritto di utilizzare i dati per propri scopi. La modalit\u00e0 di trattamento \u00e8 definita in modo chiaro e stringente dal datore di lavoro A. Tuttavia, l’entit\u00e0 incaricata della gestione delle buste paga ha la libert\u00e0 di prendere alcune decisioni operative, come la scelta del software da utilizzare o come organizzare l’accesso ai dati all’interno della propria struttura.<\/p>\n\n\n\n
Questi esempi illustrano come la distinzione tra titolare del trattamento e responsabile del trattamento possa variare a seconda delle circostanze specifiche e delle attivit\u00e0 di trattamento dei dati personali.<\/p>\n\n\n\n
Esempio: Pagamenti bancari<\/h4>\n\n\n\n
Quando l’amministrazione delle buste paga, seguendo le istruzioni del datore di lavoro A, invia informazioni alla banca B per eseguire i pagamenti ai dipendenti, la banca B tratta i dati personali nell’ambito delle sue operazioni bancarie. La banca decide autonomamente, indipendentemente dal datore di lavoro A, quali dati trattare per erogare il servizio e quanto tempo conservare tali dati. In questo contesto, il datore di lavoro A non ha controllo sulle finalit\u00e0 e sui mezzi con cui la Banca B tratta i dati. Pertanto, la Banca B \u00e8 considerata titolare del trattamento per questa attivit\u00e0, e il trasferimento di dati personali dall’amministrazione delle buste paga \u00e8 visto come una comunicazione tra due titolari del trattamento.<\/p>\n\n\n\n
Esempio: Commercialisti<\/h4>\n\n\n\n
Se il datore di lavoro A incarica la societ\u00e0 di contabilit\u00e0 C di esaminare la propria contabilit\u00e0 e trasferisce i dati delle transazioni finanziarie (inclusi i dati personali) a C, la societ\u00e0 di contabilit\u00e0 C elabora questi dati senza ricevere istruzioni dettagliate da A. La societ\u00e0 di contabilit\u00e0 C decide in autonomia, conformemente alle leggi che regolano le sue attivit\u00e0 di revisione, come trattare i dati raccolti esclusivamente ai fini dell’audit di A. Questo include decisioni su quali dati raccogliere, quali categorie di persone registrare, quanto tempo conservare i dati e quali strumenti tecnici utilizzare. In queste circostanze, la societ\u00e0 di contabilit\u00e0 C agisce come un titolare del trattamento indipendente. Tuttavia, questo ruolo potrebbe cambiare se la legge non impone obblighi specifici alla societ\u00e0 di contabilit\u00e0 e se l’azienda cliente fornisce istruzioni molto dettagliate sul trattamento dei dati.<\/p>\n\n\n\n
Esempio: Servizi di hosting<\/h4>\n\n\n\n
Quando il datore di lavoro A ingaggia il servizio di hosting H per archiviare dati crittografati sui suoi server, il servizio di hosting H non determina se i dati ospitati siano dati personali n\u00e9 li tratta in modo diverso dalla loro semplice memorizzazione. Poich\u00e9 l’archiviazione \u00e8 considerata un trattamento di dati personali, il servizio di hosting H agisce come responsabile del trattamento per conto del datore di lavoro A. \u00c8 necessario che il datore di lavoro A fornisca a H le istruzioni adeguate, ad esempio riguardo alle misure di sicurezza necessarie, e che venga stipulato un accordo di trattamento dei dati conformemente all’articolo 28 del GDPR. H deve assistere A nell’adozione delle misure di sicurezza appropriate e informarlo in caso di violazione dei dati personali.<\/p>\n\n\n\n
\nGli esempi sottostanti dimostrano come la distinzione tra il ruolo di titolare del trattamento e quello di responsabile del trattamento possa variare in base alla specifica situazione e al tipo di trattamento dei dati personali.<\/p>\n<\/blockquote>\n\n\n\n
Esempio: Servizi di hosting<\/h4>\n\n\n\n
Nel caso in cui il datore di lavoro A contratti il servizio di hosting H per l’archiviazione di dati crittografati sui server di H, il fornitore di hosting non determina se i dati ospitati siano dati personali n\u00e9 li tratta in maniera diversa dalla semplice memorizzazione. Poich\u00e9 l’archiviazione costituisce un trattamento di dati personali, il servizio di hosting H funge da responsabile del trattamento per conto del datore di lavoro A. \u00c8 necessario che il datore di lavoro A fornisca a H istruzioni specifiche, ad esempio sulle misure di sicurezza tecniche e organizzative da adottare, e che venga stipulato un accordo di trattamento dei dati conformemente all’articolo 28 del GDPR. H ha il compito di assistere A nell’implementazione delle necessarie misure di sicurezza e di informarlo in caso di violazioni dei dati personali.<\/p>\n\n\n\n
Mentre le decisioni riguardanti i mezzi non essenziali possono essere delegate al responsabile del trattamento, \u00e8 importante che alcuni elementi chiave siano definiti nel contratto con il responsabile del trattamento. <\/strong><\/p>\n\n\n\n
Inoltre, le finalit\u00e0 e i mezzi definiti dal titolare del trattamento devono concernere specificamente il “trattamento dei dati personali”<\/strong>, come definito dall’articolo 4, paragrafo 2, del GDPR, che comprende qualsiasi operazione o insieme di operazioni effettuate su dati personali. <\/p>\n\n\n\n
Questo significa che il controllo esercitato da un soggetto pu\u00f2 riferirsi all’intero processo di trattamento o solo a specifiche fasi dello stesso. Chiunque tratti dati deve valutare se questi costituiscano dati personali e, in tal caso, quali siano gli obblighi secondo il GDPR. Un soggetto pu\u00f2 essere considerato titolare del trattamento anche se non mira specificamente ai dati personali o ha valutato erroneamente di non trattare dati personali.<\/p>\n\n\n\n
\n\u00c8 rilevante notare che non \u00e8 necessario che il titolare del trattamento abbia accesso fisico ai dati per essere considerato tale. Se un soggetto esternalizza un’attivit\u00e0 di trattamento influenzando lo scopo e i mezzi del trattamento, ad esempio modificando i parametri di un servizio in modo da determinare quali dati personali debbano essere trattati, questo soggetto viene considerato titolare del trattamento, anche senza un accesso diretto ai dati.<\/p>\n<\/blockquote>\n\n\n\n
Nell’esempio delle ricerche di mercato, l’azienda ABC, che desidera comprendere meglio quali tipi di consumatori siano pi\u00f9 inclini ad essere interessati ai suoi prodotti, si avvale dei servizi della societ\u00e0 XYZ per acquisire queste informazioni. L’azienda ABC fornisce a XYZ indicazioni precise sul tipo di informazioni che ritiene rilevanti, inclusa una serie di domande da porre ai partecipanti alla ricerca.<\/p>\n\n\n\n
Sebbene l’azienda ABC riceva da XYZ unicamente dati aggregati, come le tendenze di consumo suddivise per area geografica, senza avere accesso diretto ai dati personali dei partecipanti, \u00e8 l’azienda ABC a determinare l’occorrenza del trattamento, gli scopi per cui questo deve essere effettuato e a fornire istruzioni specifiche su quali dati raccogliere. Di conseguenza, l’azienda ABC assume il ruolo di titolare del trattamento dei dati personali raccolti e trattati da XYZ al fine di ottenere le informazioni desiderate.<\/p>\n\n\n\n
D’altro canto, XYZ, che agisce in base alle direttive ricevute dall’azienda ABC e pu\u00f2 utilizzare i dati esclusivamente per lo scopo definito da quest’ultima, \u00e8 considerato responsabile del trattamento. Questo esempio evidenzia come, anche in assenza di un accesso diretto ai dati personali da parte del committente (in questo caso l’azienda ABC), la responsabilit\u00e0 e il controllo sulle finalit\u00e0 e sui mezzi del trattamento dei dati determinino la qualifica di titolare del trattamento, mentre l’esecuzione del trattamento secondo istruzioni specifiche identifica il responsabile del trattamento.<\/p>\n\n\n\n
Questo principio chiarisce che la responsabilit\u00e0 nella protezione dei dati personali e nella conformit\u00e0 con le normative sulla privacy (come il GDPR) non dipende semplicemente dal possesso fisico o dall’accesso diretto ai dati.<\/p>\n\n\n\n
La chiave \u00e8 piuttosto il controllo sulla finalit\u00e0 e sui mezzi del trattamento dei dati. Ci\u00f2 assicura che le entit\u00e0 che hanno il potere decisionale sul trattamento dei dati personali, anche se indirettamente, siano tenute a rispettare gli obblighi di protezione e privacy previsti dalla legge.<\/p>\n\n\n\n
La definizione di “titolare del trattamento” si estende quindi oltre la semplice accessibilit\u00e0 fisica ai dati, abbracciando chiunque abbia un impatto significativo sulle decisioni relative a come e perch\u00e9 i dati personali vengono trattati. <\/p>\n\n\n\n
Questo enfatizza l’importanza di una gestione responsabile dei dati personali e la necessit\u00e0 di accordi chiari e conformi alle normative quando si esternalizzano servizi che implicano il trattamento di tali dati.<\/p>\n\n\n\n
Il provvedimento del garante del 22.06.2023<\/h3>\n\n\n\n
Il provvedimento del Garante per la Protezione dei Dati Personali del 22 giugno 2023, numero 264, riguarda una sanzione amministrativa pecuniaria imposta ad Autostrade per l’Italia S.p.A. (ASPI) per violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR)1<\/a>. La sanzione ammonta a 1.000.000 di euro.<\/p>\n\n\n\n
Dettagli del Provvedimento<\/h4>\n\n\n\n
Contesto<\/strong>: Il provvedimento \u00e8 stato preso in seguito a una segnalazione dell’8 settembre 2021 da parte dell’Associazione Nazionale Utenti Servizi Pubblici (Assoutenti), riguardante l’applicazione “Free To X” creata da Autostrade per l\u2019Italia S.p.A. (ASPI) e da Free to X S.r.l. Questa app \u00e8 stata sviluppata per consentire il rimborso totale o parziale del costo del biglietto autostradale in caso di ritardi dovuti a lavori in corso.<\/p>\n\n\n\n
Risposta di ASPI<\/strong>: ASPI ha risposto alle richieste di informazioni del Garante, spiegando che l’origine del sistema di rimborso, noto come Cashback, derivava da un accordo conclusosi con il Ministero delle Infrastrutture e dei Trasporti (ora Ministero delle infrastrutture e della Mobilit\u00e0 Sostenibili – MIMS) a seguito di un presunto grave inadempimento da parte di ASPI. L’obiettivo era implementare misure compensative concordate nell’accordo, con l’autorizzazione del MIMS.<\/p>\n\n\n\n
Funzionamento dell’applicazione<\/strong>: Dopo aver ottenuto il nulla osta del MIMS il 21 luglio 2021, ASPI ha incaricato Free To X S.r.l. di gestire il servizio di Cashback tramite l’app. Questo servizio era destinato a gestire i rimborsi per ritardi significativi causati da cantieri sulle autostrade gestite da ASPI. ASPI fungeva da responsabile del trattamento dei dati personali nell’ambito del servizio di Cashback.<\/p>\n\n\n\n
Utilizzo dell’applicazione<\/strong>: L’app \u00e8 stata resa disponibile ufficialmente il 14 settembre 2021 in una fase sperimentale iniziata il giorno successivo. Il numero totale di utenti iscritti all’app era di 308.058, di cui solo circa un terzo era iscritto al servizio Cashback, rispetto agli oltre 800 milioni di transiti annui sulla rete autostradale di ASPI.<\/p>\n\n\n\n
Questo provvedimento evidenzia l’attenzione del Garante per la Protezione dei Dati Personali verso le iniziative che coinvolgono il trattamento dei dati personali, assicurando che tali pratiche siano condotte nel rispetto della normativa vigente in materia di privacy.<\/p>\n\n\n\n
pi\u00f9 nel dettaglio, la societ\u00e0 che aveva sviluppato l\u2019applicazione attuava solo le direttive che gli erano state impartite dal titolare in merito alle concrete modalit\u00e0 di trattamento dei dati personali degli utenti dell\u2019app. Di conseguenza, la diversa qualificazione dei ruoli privacy attribuita dal Garante alle parti coinvolte ha avuto immediate ripercussioni sugli adempimenti che la societ\u00e0 qualificata come titolare effettivo era tenuta a porre in essere (quali, ad esempio, l\u2019informativa con le informazioni corrette e la nomina a responsabile verso la societ\u00e0 sviluppatrice).<\/p>\n\n\n\n
Nel contesto del provvedimento del Garante per la Protezione dei Dati Personali relativo all’applicazione “Free To X” e al servizio di Cashback offerto da Autostrade per l\u2019Italia S.p.A. (ASPI) in collaborazione con Free to X S.r.l., ASPI \u00e8 stata considerata titolare del trattamento dei dati personali per diversi motivi:<\/p>\n\n\n\n
\n
- Definizione di Titolare del Trattamento<\/strong>: Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), il titolare del trattamento \u00e8 la persona fisica o giuridica, l’autorit\u00e0 pubblica, l’agenzia o altro organo che, da solo o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento dei dati personali. In questo caso, ASPI, in quanto entit\u00e0 che ha ideato e promosso l’iniziativa del Cashback e che ha definito le finalit\u00e0 e i mezzi del trattamento dei dati nell’ambito di questa iniziativa, rientra nella definizione di titolare del trattamento.<\/li>\n\n\n\n
- Ruolo di ASPI nell’Iniziativa<\/strong>: ASPI ha avuto un ruolo centrale nell’ideazione, progettazione e implementazione del servizio di Cashback. Questo include la decisione di offrire un rimborso ai viaggiatori in caso di ritardi significativi dovuti a lavori in corso sulle autostrade da essa gestite. La decisione di raccogliere e utilizzare i dati personali degli utenti per facilitare questo servizio \u00e8 stata presa da ASPI, che ha quindi stabilito le finalit\u00e0 del trattamento.<\/li>\n\n\n\n
- Accordo con Free to X S.r.l.<\/strong>: Anche se ASPI ha delegato la gestione operativa del servizio di Cashback a Free to X S.r.l., ASPI rimane l’entit\u00e0 che ha concordato le condizioni e i termini del servizio, comprese le modalit\u00e0 di trattamento dei dati personali degli utenti. Questo accordo non esime ASPI dalle sue responsabilit\u00e0 come titolare del trattamento, poich\u00e9 ha definito le finalit\u00e0 e i mezzi del trattamento.<\/li>\n\n\n\n
- Responsabilit\u00e0 nei confronti degli Utenti<\/strong>: ASPI, in quanto entit\u00e0 che ha promosso l’iniziativa rivolta agli utenti delle autostrade, ha la responsabilit\u00e0 di assicurare che i dati personali degli utenti siano trattati in modo conforme al GDPR e alla normativa sulla privacy. Questo include la responsabilit\u00e0 di informare gli utenti sul trattamento dei loro dati, sui loro diritti in materia di protezione dei dati e sulle modalit\u00e0 di esercizio di tali diritti.<\/li>\n<\/ol>\n\n\n\n
In conclusione, ASPI \u00e8 stata considerata titolare del trattamento perch\u00e9 ha giocato un ruolo decisivo nella determinazione delle finalit\u00e0 e dei mezzi del trattamento dei dati personali nell’ambito del servizio di Cashback, conformemente alla normativa europea sulla protezione dei dati.<\/p>\n\n\n\n
Immaginate di partecipare a un programma che vi promette di restituire una parte dei soldi che spendete in autostrada se vi trovate in mezzo a lavori stradali che causano ritardi. <\/p>\n\n\n\n
Ruolo di ASPI nel Cashback<\/h4>\n\n\n\n
ASPI ha pensato e realizzato l’intera idea del Cashback. Ha deciso di offrire un rimborso a chi si trova in ritardo a causa dei lavori sulle autostrade che gestisce. Per fare ci\u00f2, ha bisogno di raccogliere informazioni sugli utenti, come quando e dove hanno viaggiato, per poter calcolare il rimborso. ASPI, quindi, stabilisce perch\u00e9 e come vengono usati questi dati.<\/p>\n\n\n\n
Collaborazione con Free to X S.r.l.<\/h4>\n\n\n\n
Anche se ASPI ha affidato a un’altra societ\u00e0, Free to X S.r.l., la gestione pratica di questo servizio di Cashback, ASPI non si libera delle sue responsabilit\u00e0. Ha concordato con Free to X come i dati dovrebbero essere trattati, ma rimane comunque ASPI a decidere il “perch\u00e9” e il “come” finale del loro uso. Questo significa che ASPI deve assicurarsi che tutto sia fatto rispettando le regole sulla privacy.<\/p>\n\n\n\n
Al riguardo \u00e8 possibile consultare il\u00a0parere n. 1\/2010\u00a0<\/a>del WP29<\/a>\u00a0<\/a>(WP169)<\/a>\u00a0<\/strong>sui concetti di responsabile e incaricato del trattament<\/em>o<\/p>\n\n\n\n