LE LINEE DEI GARANTI UE SULL’ESTERNALIZZAZIONE DEI SERVIZI E I TRASFERIMENTI DI INFORMAZIONI

Pagine a cura di Antonio Ciccia Messina
Outsourcing in linea con la privacy. Quando un’azienda esternalizza i propri servizi deve preoccuparsi di stendere un contratto con il fornitore esterno, che diventa un responsabile del trattamento. Attenzione, stendere il contratto è obbligatorio, altrimenti si rischia fino a 10 milioni di euro di sanzione pecuniaria amministrativa (articolo 83 regolamento Ue sulla privacy n. 2016/679 o Gdpr). Insomma quando i dati personali passano da un’impresa a un’altra o a un ente pubblico occorre capire se si può fare e a che condizione si può fare.

Può essere che ci sia un titolare del trattamento (decide finalità e mezzi del trattamento) e il soggetto esterno (outsourcee) che tratta i dati per conto del primo. Detto così pare facile, Ma non lo è sempre. Anzi, molto spesso nella pratica i passaggi di dati sono un crocevia intricato di flussi e anche i ruoli decisionali non sono così ben definiti.

Insomma è un problemone. Tanto che i Garanti europei della privacy, riuniti nel comitato europeo per la protezione dei dati (Edpb) hanno stilato una prima versione delle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr». Il taglio delle linee guida è pratico e sono decisamente apprezzabili gli esempi. La materia rimane però con molti margini di incertezza applicativi, visto che molto spesso si rinvia alla soluzione «caso per caso», che è un altro modo per dire che non c’è una regola fissa.

Un contributo alla soluzione dei nodi arriva dalle esemplificazioni dell’Edpb, riportate in queste pagine.

Responsabili. Come riconoscere un titolare e un responsabile? Vediamo passo passo come procedere seguendo le indicazioni dei Garanti europei:

1. Se il trattamento non coinvolge altri se non un solo soggetto, quest’ultimo è il solo titolare ed è responsabile dei mezzi del trattamento.

2. Se ci sono più soggetti coinvolti nel trattamento, bisogna chiedersi se una norma dell’ordinamento indichi esplicitamente un determinato soggetto come titolare del trattamento. In caso affermativo il soggetto individuato dalla norma agisce come titolare del trattamento.

3. Se la norma non indica espressamente la titolarità, ma il trattamento è necessario per realizzare un compito assegnato dalla norma (attribuzione della competenza senza indicazione del ruolo), il soggetto assegnatario della funzione è un titolare del trattamento.

4. Se non c’è un’individuazione esplicita o implicita, bisogna passare al vaglio di alcuni elementi sintomatici. Il soggetto deve chiedersi se sia lui a decidere una serie di circostanze, ovvero: lo scopo o gli scopi per cui i dati saranno trattati; quali dati personali devono essere raccolti e trattati; quali categorie di individui a cui si riferiranno i dati trattati; se i dati trattati saranno comunicati e a chi; per quanto tempo i dati personali saranno conservati.

Se la risposta alla domanda è negativa, in quanto il soggetto effettua il trattamento per conto di un’altra parte, conformemente alle sue istruzioni, allora il soggetto in questione è un responsabile. Si rimane responsabili anche se si prendono decisioni su determinati mezzi non essenziali da utilizzare (per esempio, quali sistemi informatici o altri mezzi tecnici utilizzare per il trattamento o i dettagli delle misure di sicurezza in base agli obiettivi generali di sicurezza fissati dall’altra parte).

A maggior ragione il soggetto in questione è un responsabile se effettua il trattamento per conto di un’altra parte e esclusivamente in conformità con le sue istruzioni e non prende alcuna decisione in materia di scopi e mezzi di trattamento.

5. Se non si sa rispondere alla domanda su chi assume le decisioni, ci sono alcuni fattori che fanno propendere per la figura di titolare e altri per la figura di responsabile esterno.

6. I fattori sintomatici della titolarità sono:

si ottiene un beneficio o si ha un interesse per il trattamento (diverso dal semplice pagamento per i servizi ricevuti da un altro titolare); si prendono decisioni sulle persone interessate come parte o come risultato del trattamento (per esempio, i soggetti di dati sono i dipendenti); le attività di trattamento possono essere considerate come naturalmente collegate al ruolo o alle attività del soggetto (per esempio a causa di ruoli tradizionali o competenze professionali) che comporta responsabilità da un punto di vista della protezione dati; Il trattamento si riferisce alla relazione con i soggetti di dati come dipendenti, clienti, utenti, ecc.; il soggetto ha piena autonomia nel decidere come vengono trattati i dati personali; il soggetto ha affidato il trattamento dei dati personali a un’organizzazione esterna per elaborare i dati personali per tuo conto.

7. I fattori sintomatici della responsabilità sono:

si trattano i dati personali per finalità di un altro soggetto e in conformità con le sue istruzioni; non si dispone di uno scopo proprio del trattamento; un’altra parte monitora le attività di trattamento per garantire il rispetto delle istruzioni e termini contrattuali; non si persegue altra finalità se non quello di adempiere le prestazioni contrattuali; il soggetto è stato incaricato di svolgere attività di trattamento da parte di qualcuno che a sua volta è stato individuato per trattare dati per conto di un’altra parte e sulle istruzioni documentate di questa parte (il soggetto è un sub responsabile).

Dagli studi legali ai progetti di ricerca, passando per le agenzie viaggi: chi può vantare la titolarità del trattamento
Studi legali

La società ABC assume uno studio legale per la difesa in una controversia. Al fine di svolgere questo compito, lo studio legale deve elaborare i dati personali relativi al caso. Le ragioni per il trattamento dei dati personali sono il mandato dello studio legale di rappresentare il cliente in tribunale. Questo mandato, tuttavia, non è specificamente destinato al trattamento dei dati personali. Lo studio legale agisce con un significativo grado di indipendenza, per esempio nel decidere quali informazioni utilizzare e come utilizzarle, e non ci sono istruzioni da parte della società cliente per quanto riguarda il trattamento dei dati personali. Il trattamento che lo studio legale svolge al fine di adempiere il compito di rappresentante legale della società è, quindi, legato al ruolo funzionale dello studio legale in modo che sia considerato come titolare per questo trattamento.

Servizio paghe

Il datore di lavoro A incarica un’altra società di servizi per la gestione degli stipendi ai propri dipendenti.

Il datore di lavoro A fornisce istruzioni chiare su chi pagare, quali importi, entro quale data, con quale banca, per quanto tempo i dati devono essere memorizzati, quali dati devono essere divulgati all’autorità fiscale, ecc. In questo caso, il trattamento dei dati viene effettuato per finalità proprie della società A di pagare gli stipendi ai propri dipendenti e la società di servizi non può utilizzare i dati per qualsiasi scopo proprio. Il modo in cui la società di servizi deve eseguire il trattamento è in sostanza chiaramente e strettamente definito. Tuttavia, l’amministratore delle retribuzioni può decidere su alcune questioni dettagliate relative all’elaborazione, per esempio quale software utilizzare, come assegnare gli accessi al sistema informatico all’interno della propria organizzazione, ecc. Ciò non modifica il suo ruolo di responsabile finché la società di servizi non disattende o oltrepassa le istruzioni fornite dalla società A.

Pagamenti bancari

Come parte delle istruzioni del datore di lavoro A, la società di servizi, che gestisce le paghe, trasmette le informazioni alla Banca B in modo che possano effettuare il pagamento effettivo ai dipendenti del datore di lavoro A. Questa attività comprende il trattamento dei dati personali da parte della Banca B che svolge ai fini dell’attività bancaria. Nell’ambito di questa attività, la banca decide indipendentemente dal datore di lavoro A su quali dati devono essere elaborati per fornire il servizio, per quanto tempo i dati devono essere memorizzati ecc. Il datore di lavoro A non può avere alcuna influenza sulle finalità e sui mezzi di trattamento dei dati da parte della Banca B. La banca B deve quindi essere vista come un controllore per questo trattamento e la trasmissione dei dati personali dall’amministrazione delle retribuzioni deve essere considerata come una divulgazione di informazioni tra due titolari, dal datore di lavoro A alla banca B.

Società di revisione

A assume anche la società di revisione contabile C per effettuare verifiche della contabilità e pertanto trasferisce i dati relativi alle transazioni finanziarie (compresi i dati personali) a C.

La società C elabora questi dati senza istruzioni dettagliate da A.

La società C decide autonomamente, in conformità con le disposizioni giuridiche che disciplinano i compiti delle attività di revisione svolte da C, che i dati raccolti saranno trattati solo ai fini dell’audit di A e determina quali dati deve avere, quali categorie di persone devono essere registrate, per quanto tempo i dati devono essere conservati e quali mezzi tecnici utilizzare. In tali circostanze, la società C deve essere considerata come un proprio titolare quando si svolgono i propri servizi di revisione contabile per A.

Tuttavia, questa valutazione può essere diversa a seconda del livello di istruzioni da A. In una situazione in cui la legge non stabilisca obblighi specifici per la società di revisione e la società cliente fornisca istruzioni molto dettagliate sul trattamento, la società di revisione agirebbe effettivamente come un responsabile. Si potrebbe fare una distinzione tra una situazione in cui il trattamento sia, in conformità con le leggi in materia, svolto come parte dell’attività principale della società di revisione e altra situazione in cui il trattamento sia un compito più limitato e accessorio, che viene svolto nell’ambito dell’attività della società cliente.
Servizi di hosting

Il datore di lavoro A assume il servizio di hosting H per archiviare i dati crittografati sui server di H.

Il servizio di hosting H non determina se i dati che ospita sono dati personali né elabora i dati, limitandosi ad archiviarli sui propri server. Poiché l’archiviazione è un esempio di attività di trattamento dei dati personali, il servizio di hosting H sta elaborando i dati personali per conto del datore di lavoro A ed è, quindi, un responsabile. Il datore di lavoro A deve fornire le istruzioni necessarie a H, per esempio, sulle misure di sicurezza tecniche e organizzative necessarie e sulla conclusione di un accordo di trattamento dei dati ai sensi dell’articolo 28 Gdpr. H deve aiutare A a garantire che siano adottate le misure di sicurezza necessarie e a dargli immediata notizia in caso di violazione dei dati personali.
Ricerche di mercato

La società ABC desidera comprendere quali tipi di consumatori siano più interessati ai suoi prodotti e incarica la società di servizi XYZ, per ottenere le informazioni rilevanti. L’azienda ABC istruisce XYZ a riguardo del tipo di informazioni a cui è interessata e fornisce un elenco di domande da porre a coloro che partecipano alla ricerca di mercato.

L’azienda ABC riceve solo informazioni statistiche (per esempio, l’identificazione delle tendenze dei consumatori per regione) da XYZ e non ha accesso ai dati personali stessi. Tuttavia, la società ABC ha deciso di realizzare il trattamento ed il trattamento viene effettuato per le sue finalità nell’ambito della sua attività e ha fornito a XYZ istruzioni dettagliate su quali informazioni raccogliere.

La società ABC deve, quindi, ancora essere considerata un titolare per quanto riguarda il trattamento dei dati personali che avviene al fine di fornire le informazioni che ha richiesto. La XYZ può trattare i dati solo per le finalità indicate dalla società ABC e secondo le sue istruzioni dettagliate ed è, quindi, da considerarsi come responsabile.

Agenzia di viaggi, compagnia area e hotel

Un’agenzia di viaggi invia i dati personali dei propri clienti alla compagnia aerea e a una catena di hotel, al fine di effettuare prenotazioni per un pacchetto di viaggio.

La compagnia aerea e l’hotel confermano la disponibilità dei posti e delle camere richiesti.

L’agenzia di viaggi rilascia i documenti di viaggio e i voucher per i suoi clienti. Ciascuno dei soggetti elabora i dati per svolgere le proprie attività e utilizzando i propri mezzi. In questo caso, l’agenzia di viaggi, la compagnia aerea e l’hotel sono tre autonomi titolari di dati che elaborano i dati per i propri scopi e non vi è alcuna contitolarità.

L’agenzia di viaggi, la catena alberghiera e la compagnia aerea decidono, però, di costituire insieme una piattaforma Internet allo scopo comune di fornire offerte di viaggio a pacchetto. Essi concordano sulle modalità di funzionamento del sistema, come per esempio quali dati saranno conservati, come verranno assegnate e confermate le prenotazioni e chi può avere accesso alle informazioni memorizzate. Inoltre, decidono di condividere i dati dei loro clienti al fine di effettuare azioni di marketing congiunte. In questo caso, l’agenzia di viaggi, la compagnia aerea e la catena alberghiera, determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei rispettivi clienti e saranno, quindi, contitolari a riguardo delle operazioni di trattamento relative alla comune piattaforma di prenotazione basata su Internet e alle azioni di marketing congiunte. Tuttavia, ciascuno di essi manterrebbe comunque la titolarità esclusiva per quanto riguarda altre attività di elaborazione al di fuori della piattaforma comune basata su Internet.

Progetto di ricerca

Alcuni istituti di ricerca decidono di partecipare a uno specifico progetto di ricerca congiunta e di utilizzare a tal fine la piattaforma già esistente di uno degli istituti coinvolti nel progetto. Ogni istituto fornisce i dati personali che detiene nella piattaforma ai fini della ricerca congiunta e utilizza i dati forniti da altri attraverso la piattaforma per lo svolgimento della ricerca. In questo caso, tutti gli istituti si qualificano come contitolari del trattamento dei dati personali, che viene fatto memorizzando e divulgando informazioni da questa piattaforma, poiché hanno deciso insieme lo scopo del trattamento e i mezzi da utilizzare (la piattaforma esistente). Ciascuno degli istituti, tuttavia, è un titolare autonomo per qualsiasi altro trattamento che possa essere effettuato al di fuori della piattaforma per i rispettivi scopi.

Marketing

Le società di marketing A e B hanno lanciato un prodotto a doppio marchio e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi clienti e potenziali database e decidere l’elenco degli invitati all’evento su questa base. Concordano inoltre sulle modalità di invio degli inviti all’evento, su come raccogliere feedback durante l’evento e sulle azioni di follow-up del marketing.

Le imprese A e B possono essere considerate come contitolari per il trattamento dei dati personali relativi all’organizzazione dell’evento promozionale, in quanto decidono insieme lo scopo e i mezzi essenziali del trattamento dei dati in questo contesto.

© Riproduzione riservata
Fonte:
logoitalia oggi7