Il Principio di Accountabilty nel Nuovo Regolamento UE 2016/679 – Prima Parte

Con l’entrata in vigore del Regolamento UE 2016/679 (di seguito “GDPR”), il concetto di “dato proprietario” si evolve nel concetto di “controllo del dato”, per agevolare così la libera circolazione dei dati personali. Ne è riprova l’art. 1 del GDPR, che al paragrafo 1 recita: “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Ai sensi del par. 3, la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Attori e criteri del trattamento dei dati nel GDPR

In questo rinnovato contesto e al fine di proteggere i diritti e le libertà fondamentali delle persone fisiche – in particolare il diritto alla protezione dei dati personali –  l’art. 1, par. 2 del GDPR ha introdotto alcune importanti novità nella disciplina del trattamento dei dati personali[1],  la più rilevante delle quali attiene al nuovo approccio al rischio basato sul principio di accountability (responsabilizzazione). Saranno di seguito brevemente esaminati alcuni articoli del GDPR nei quali è riscontrabile il predetto principio, strettamente connesso alla compliance del titolare del trattamento.

Tale principio non rappresenta una novità, anzi: il suo esordio è avvenuto inizialmente con la Convenzione OCSE del 1980,  il cui Par. 14 recita: “Il responsabile del trattamento dei dati dovrebbe essere responsabile del rispetto delle misure che rendono effettivi i principi indicati sopra” e successivamente ha trovato collocazione nel Parere n. 3/2010 del gruppo WP 29[2]. Trattasi dunque di un principio “ampio”, idoneo a permeare le varie fasi nelle quali il trattamento si articola, che richiede un approccio di tipo dinamico e non statico tale da manifestarsi in un modello organizzativo in costante evoluzione.

Figura principale del principio di accountability è il titolare del trattamento[3] (oppure i contitolari, in presenza di più titolari) che assume tale ruolo non in virtù di una disposizione ma ipso iure quando, “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”  ai sensi dell’art. 4, par. 1 n. 7 del GDPR[4]. Analogo ragionamento deve essere svolto nell’ipotesi di determinazioni dei mezzi e delle finalità del trattamento dei dati personali tra due o più titolari, quando si rientra nell’istituto della contitolarità ex art 26[5] del GDPR.

Il regime di contitolarità[6] non si instaura a seguito di un accordo tra due o più contitolari ma con la presenza degli elementi costitutivi della titolarità; e cioè la determinazione congiunta delle finalità e dei mezzi per uno o più trattamenti.

Esaminati brevemente sia la figura che gli elementi costitutivi del titolare e dei contitolari, occorre evidenziare il rilievo del principio di accountability in alcune fasi del trattamento (che decorre dalla fase di progettazione per giungere alla sua conclusione, ivi inclusa la fase di conservazione e/o eliminazione dei dati personali oggetto del trattamento).

Il titolare oppure i contitolari del trattamento sono tenuti a comprovare che il trattamento dei dati personali sia svolto in coerenza con l’art. 5 del GDPR; in particolare, dopo aver assunto le misure di sicurezza (art. 5 par. 1 lett. f) e verificata l’efficacia delle stesse, sono tenuti, se necessario, a riesaminarle e ad aggiornarle a conferma della dinamicità del principio di accountability.

La protezione dei dati personali fin dalla progettazione di un trattamento, così come la protezione per impostazione predefinita,  è un’attività necessaria per poter avviare qualsiasi trattamento: entrambe implicano l’adozione di misure tecniche e organizzative adeguate alla luce delle analisi dei rischi, se necessario della valutazione d’impatto e da ultimo, ricorrendone i presupposti, della consultazione preventiva, così da soddisfare i requisiti ex art. 25 del GDPR.

Con l’avvio del trattamento il titolare è tenuto, ai sensi degli art. 13 e 14, a rendere a ciascun interessato l’informativa per comunicare gli elementi essenziali del trattamento – quali ad esempio il titolare, il responsabile per la per la protezione dei dati, le basi giuridiche, le finalità etc. – nonché per comunicare il procedimento per l’esercizio dei diritti che il  Regolamento gli attribuisce.

Tra le basi giuridiche di cui il titolare può avvalersi c’è il consenso dell’interessato che, come da art. 7 paragrafo 1 del GDPR, può essere acquisito secondo il principio della libertà della forma e in aderenza al principio di responsabilizzazione sancito dall’art. 5 paragrafo 2, che recita: “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che linteressato ha prestato il proprio consenso al trattamento dei propri dati personali”.

Il Considerando n. 32 del GDPR, poi, specifica quanto segue: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale linteressato manifesta lintenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.

Il titolare, ricorrendone la necessità, può nominare un Responsabile ex art. 28[7] del GDPR purché questi sia in possesso dei requisiti previsti dal paragrafo 1 e cioè, nel caso di trattamenti da effettuarsi per suo conto, deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato in omaggio, anche nel caso di specie al principio di accountability.

La nomina di un responsabile, infatti, non esime il titolare dall’eventuale culpa in eligendo nel caso sia nominato un responsabile non in possesso di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, nonché dalla culpa in vigilando dovuta al mancato controllo delle attività delegate al responsabile ex art. 28 del GDPR.

La forma scritta ad substantiam, anche elettronica, richiesta dall’art. 28 rappresenta infatti solo una cornice del contratto o dell’atto giuridico a norma del diritto dello Stato o dell’Unione che disciplinerà e definirà, in dettaglio, gli elementi richiesti a norma del paragrafo 3[8] non essendo consentito al titolare delegare il controllo nei confronti del responsabile.

La Commissione, con la decisione in nota[9], ha recentemente approvato le clausole contrattuali tipo che soddisfano i requisiti per i contratti tra titolari e responsabili del trattamento di cui all’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 e all’articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725.

Al titolare è richiesto un ruolo “produttivo” per documentare quanto previsto nell’art. 28, par. 1 del GDPR così da poter dimostrare l’accountability. Esso può essere esonerato da rivendicazioni di terzi per azioni cagionate e non conformi ai dettati degli accordi con il responsabile esclusivamente nel caso in cui  quest’ultimo (fatti salvi gli arti. 82, 83, e 84) violi il GDPR, determinando finalità e mezzi del trattamento tali da essere considerato egli stesso titolare del trattamento in argomento.

Note

[1]Art. 4, par. 1 n. 1 – «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

[2] https://www.garanteprivacy.it/documents/10160/10704/Articolo+29+-+WP173+-+Parere+3+2010+sul+principio+di+responsabilità.pdf/006f43b3-7180-4485-903e-bf8b4f367763?version=1.2

[3]Art. 4, par. 1 n. 7 – «titolare del trattamento» la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali: quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

[4] La determinazione congiunta delle finalità e dei mezzi e non l’accordo tra le parti rappresenta il fatto costitutivo della contitolarità. L’autonomia privata, pertanto, non può derogare alle disposizioni poste a presidio dei diritti degli interessati

[5] Articolo 26 – Contitolari del trattamento

  1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che (e nella misura in cui) le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
  2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
  3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

[6]Tale ricostruzione è confermata in EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR adopted 02 September 2020, n. 61, pagg. 19 e 20, che così recita: “Joint controllership also requires that two or more entities have exerted influence over the means of the processing. This does not mean that, for joint controllership to exist, each entity involved needs in all cases to determine all of the means. Indeed, as clarified by the CJEU, different entities may be involved at different stages of that processing and to different degrees. Different joint controllers may therefore define the means of the processing to a different extent, depending on who is effectively in a position to do so.”

Analoga ricostruzione è presente nella sentenza judgment in Fashion ID, C-40/17ECLI: EU:2018:1039, paragraph 74.

[7]Art. 4, par. 1 n. 8 – «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

[8]Art. 28 – Responsabile del trattamento

[omissis]

  1. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
  2. a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  3. b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  4. c) adotti tutte le misure richieste ai sensi dell’articolo 32;
  5. d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
  6. e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
  7. f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  8. g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  9. h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

[omissis].

[9] Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell’articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE) https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32021D0915&from=EN.

 

Articolo a cura di Massimo Ippoliti

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

Condividi sui Social Network:

Articoli simili