Avverto spesso l’esigenza di fare un po’ di chiarezza, per primo a me stesso, su che cosa sia il titolare autonomo del trattamento in un contesto di protezione dei dati, alla luce del Regolamento UE 2016/679 (“GDPR”). Spesso calare nel concreto questo concetto (in teoria semplice) è operazione di estrema difficoltà, perché si tratta di distinguere questo soggetto (di solito) dalla figura del responsabile del trattamento. Dal diverso inquadramento, dipendono una serie di importanti differenze sia sul piano delle facoltà che sul piano delle responsabilità. Ma non solo.
Vorrei procedere tuttavia, con un certo ordine. Il GDPR definisce il titolare del trattamento come (la faccio breve) il soggetto che definisce le finalità del trattamento dei dati personali, e predispone il sistema di protezione sugli stessi. Il responsabile del trattamento, invece, ha un ruolo subalterno, sebbene di estrema importanza: adotta le misure di protezione dei dati sulla base degli ordini ricevuti dal titolare, ma non concorre a definire le finalità del trattamento.
Sgomberiamo il campo, come prima cosa, da alcune ambiguità che spesso si insinuano già nella fase di definizione. Non ha particolare rilevanza, nella definizione dei ruoli, stabilire chi acquisisca il dato dall’interessato né chi processi il maggior numero di dati. In altri termini, se il titolare individua un responsabile e lo incarica di raccogliere direttamente i dati presso gli interessati (che avranno, pertanto come interfaccia diretta il responsabile), non per questo il responsabile diventa titolare, e ciò neppure nell’ipotesi in cui il titolare abbia accesso ad una quantità di dati ben inferiore rispetto al responsabile. Quello che conta, nella teoria come anche nell’esempio che ho fatto, è stabilire chi ha definito le finalità del trattamento e, di conseguenza, chi ha una funzione di esecutore, diciamo, delle finalità altrui. Un altro elemento a mio avviso poco influente sulla definizione del ruolo di titolare (lo so, molti teorici anche autorevoli non la pensano come me) è l’autonomia con cui si muove il soggetto “incaricato” dal titolare di trattare i dati. Alcuni sostengono che se il soggetto “incaricato” è dotato di ampia autonomia per esempio, in relazione al fatto che il titolare non ha alternative a rivolgersi ad un soggetto qualificato per processare i dati (un avvocato che patrocina il cliente in causa), allora per ciò stesso l’incaricato sarebbe un titolare autonomo, non un responsabile. Tuttavia, di questo ragionamento non c’è traccia alcuna nel testo del GDPR, per cui resto dell’idea che, per quanto autonomo, un responsabile resterà sempre tale se persegue (come nell’esempio che ho fatto) le finalità determinate dal titolare.
Il titolare autonomo del trattamento è una figura non citata dal GDPR, eppure presente nei fatti. Di solito, si usa questo termine quando, in presenza di un primo titolare (la cui esistenza è indiscutibile), un soggetto diverso a cui legittimamente sono trasferiti i dati, li processa per finalità distinte rispetto a quelle del titolare, assumendo così a sua volta una funzione distinta di titolare. Questa funzione distinta può presentarsi in concomitanza ad un ruolo di responsabile del trattamento, o meno. In altri termini, il titolare autonomo può essere soltanto tale, oppure può avere un doppio ruolo, di titolare su alcuni trattamenti e di responsabile su altri. Naturalmente, questo caso è ben diverso da quello (espressamente regolato dal GDPR) nel quale due o più soggetti concorrono a definire una o più finalità comuni, che è il caso della contitolarità (sul quale non intendo soffermarmi oltre).
La distinzione tra i ruoli diventa dunque abbastanza semplice in teoria: è sufficiente individuare quali finalità sono perseguite nel trattamento dei dati ed il soggetto che le definisce; dall’analisi risulterà l’attribuzione del ruolo di titolare/ contitolare/ titolare autonomo e, per differenza, l’attribuzione del ruolo di responsabile (o eventualmente altri ruoli secondari). Distinzione facile in teoria, difficilissima nella pratica. Soprattutto quando la finalità non è l’espressione libera della volontà di un soggetto individuato, ma, ad esempio, una necessità di fatto o l’effetto di una previsione normativa. In questi casi può essere di estrema difficoltà l’attribuzione della titolarità sul dato. Vediamo alcuni casi.
Di norma, nel caso più semplice ed ordinario, il rapporto titolare-responsabile si innesta in un più ampio rapporto cliente-fornitore. Il titolare, nell’ambito della sua autonomia imprenditoriale, stabilisce di esternalizzare alcuni servizi che comportano il trattamento di dati personali, individua sul mercato, tra i possibili fornitori, quelli che lo possono aiutare al meglio (di solito, in termini di rapporto qualità-prezzo) a perseguire i suoi obiettivi imprenditoriali, valuta (questo è l’auspicio) il livello di protezione dei dati che il fornitore è in grado di garantire, ed affida il lavoro o servizio, andando a regolamentare contrattualmente i due aspetti (il rapporto commerciale e la nomina formale a responsabile del trattamento). Nel corso del rapporto, va da sé che il cliente ha un naturale potere di influenza sul fornitore; in termini di privacy, esercita così i suoi poteri di istruzione e controllo.
Questa situazione “standard” si va a complicare quando il rapporto di forze tra cliente e fornitore è, per certi versi, invertito. Pensiamo ad esempio al caso di un piccolo imprenditore che acquista prodotti informatici da una grande software house o da una compagnia big tech. L’inversione del rapporto di forza porta ad un inevitabile affievolimento dei poteri di istruzione e controllo del cliente nei confronti del fornitore. Tuttavia, finché il prodotto in questione appartiene al libero mercato, il cliente ha sempre la possibilità di selezionare il fornitore sulla base del livello di sicurezza dei dati garantito contrattualmente, come ha sempre la possibilità di recedere dal contratto quando il livello di protezione non dovesse risultare adeguato alle sue valutazioni. Di conseguenza, il potere di istruzione e controllo trova comunque un’attuazione; inoltre, anche in un contesto di questo tipo, il contratto di nomina a responsabile, se rispettoso dei contenuti di cui all’art. 28 GDPR, garantirà al titolare le prerogative in questione. Infine, è indubbio che quando il cliente acquista questo tipo di prodotto sul libero mercato, lo fa per perseguire sue proprie finalità; il fornitore, risultando strumentale al raggiungimento di queste finalità, non può che essere un responsabile del trattamento. Potrà essere nel contempo un titolare autonomo? Lo vedremo più avanti.
Una situazione ancora più intricata si ha quando un soggetto, che ancora non definiamo titolare, ma immaginiamo possa essere un’impresa o un’organizzazione, trasferisce i dati a terzi in adempimento di un obbligo di legge. Poiché il trasferimento di dati non risponde ad una volontà libera dell’organizzazione, c’è da chiedersi come prima cosa a chi appartengano le finalità del trattamento. È difficile dare una risposta globale a questa situazione, potendosi configurare almeno quattro casi distinti: a) la legge obbliga l’organizzazione a comunicare un dato ad un soggetto che persegue un suo proprio scopo (es. il datore di lavoro trasmette i dati dei dipendenti all’ente previdenziale) oppure; b) la legge obbliga l’organizzazione a comunicare un dato ad un soggetto che persegue uno scopo che è comunque dell’organizzazione (es. il medico competente effettua le visite ai dipendenti) oppure; c) la legge obbliga l’organizzazione a comunicare un dato ad un soggetto terzo per uno scopo congiunto dell’organizzazione e del soggetto terzo (es. il datore di lavoro trasmette i dati dei dipendenti ad un ente pubblico di formazione) oppure; d) la legge obbliga l’organizzazione a comunicare un dato per uno scopo d’interesse generale non riconducibile ad un ente specifico (es. l’organizzazione, soggetta alle norme sulla trasparenza amministrativa, pubblica nel sito alcuni dati dei propri dipendenti). Nei soli casi b), c) e d) l’organizzazione sarà titolare del trattamento, mentre il destinatario dei dati sarà titolare nel caso a), responsabile nel caso b), contitolare nel caso c), e in nessun caso tra quelli contemplati, dunque, sarà titolare autonomo.
Che cosa succede, tuttavia, quando un soggetto che già si configura come responsabile, voglia perseguire delle finalità autonome (magari per ragioni di tipo commerciale) e quindi arroghi a sé il diritto di assumere parallelamente il ruolo di titolare autonomo del trattamento? Questo che sto affrontando è un tema poco discusso ma di grande importanza per lo sviluppo della cosiddetta digital economy. Partiamo da due presupposti: il responsabile che voglia utilizzare i dati ottenuti per perseguire finalità autonome dovrà agire nel rispetto della norma, e pertanto trovare diversi fondamenti di legittimità rispetto a quelli su cui si basa il trattamento posto in essere dal primo titolare. Ad esempio, se il primo titolare si legittima sul consenso dell’interessato, il titolare autonomo dovrà eventualmente acquisire un distinto consenso (e non potrà, per ovvi motivi, avvalersi del consenso prestato a favore del primo titolare). Inoltre, assumendo il ruolo di titolare, il secondo soggetto assumerà per ciò stesso ogni responsabilità dell’azione intrapresa, con conseguente esonero del primo titolare. Pertanto, se il responsabile è in grado di rispettare i due presupposti sopra indicati, non c’è motivo di ritenere che non possa assumere di sua propria iniziativa il ruolo di titolare autonomo del trattamento, e questo anche per assurdo all’insaputa del primo titolare. Va da sé che se il contratto di nomina a responsabile dovesse espressamente vietare questo tipo di iniziativa, oppure condizionare l’efficacia ad un assenso del primo titolare, l’operazione non potrebbe andare in porto. Ma la questione, a mio avviso, si pone più su un piano commerciale che su un piano di violazione delle norme sulla protezione dei dati. D’altra parte, non dobbiamo dimenticare che il GDPR nasce con il dichiarato intento di favorire la libera circolazione dei dati e lo sviluppo delle iniziative imprenditoriali collegate all’economia digitale, ovviamente in un contesto di legittimità e rispetto delle persone.
Volendo quindi arrivare ad una prima, non definitiva, conclusione, la figura del titolare autonomo del trattamento è spesso abusata in quanto, in diverse situazioni nelle quali viene normalmente invocata, in realtà il soggetto in questione rientra in altre definizioni del GDPR. Un caso invece di grande interesse e da approfondire in futuro, specialmente nell’ottica dello sviluppo dell’economia digitale, è quello di un responsabile del trattamento che persegua sue proprie finalità sui dati ottenuti, configurandosi così, al tempo stesso, responsabile e titolare autonomo.