Ma tu lo fai da solo o “congiuntamente”?
Se due aziende decidono insieme perché e come trattare dati personali, sono contitolari del trattamento.
Nonostante poche aziende lo sappiano, quando due o più organizzazioni decidono congiuntamente, il “perché” e il “come” trattare dati, si verifica un’ipotesi di c.d. “contitolarità” del trattamento.
Benché espressamente prevista dall’art. 26 del Gdpr e attentamente esaminata dal Board europeo dei Garanti Privacy (LLGG 7/20200), è una fattispecie poco conosciuta e poco utilizzata. Sovente vista senza particolari favori.
Nella realtà degli affari sono tante le ipotesi in cui almeno due aziende operano “insieme” sin dalla decisione di dare il via ad una attività di business o ad una sua evoluzione o specificazione.
E’ bene sapere, però, che la “partecipazione congiunta di due o più entità alla determinazione delle finalità e dei mezzi di una operazione di trattamento” dei dati personali (e finanche quando una delle parti non venga nemmeno in possesso di tali dati), può necessitare alcune accortezze, prima tra tutte la stipula di un apposito accordo che regoli in modo trasparente le rispettive responsabilità e compiti, anche in relazione al trattamento dei dati ed alle conseguenze che questo comporta.
Bisognerà, quindi, prevedere che vi sia una Informativa, che sia chiaro a chi un interessato possa rivolgersi per esercitare i propri diritti, dare la possibilità di conoscere il contenuto essenziale dell’accordo, disporre in merito ai periodi di conservazione e, non per ultimo, che cosa succederà al termine dell’accordo, soprattutto in merito ai dati.
Due o più aziende, dunque, sono contitolari del trattamento quando decidono congiuntamente il perché e il come trattare i dati personali oppure quando il trattamento dei dati è conseguenza di decisione separate ma convergenti, che abbiano un impatto tangibile sulle decisioni sul perchè (finalità) e sul come (mezzi) del trattamento stesso.
Un classico esempio fatto dai Garanti Europei (anche a seguito di una decisione della Corte di Giustizia europea: C-210/16), poco conosciuto ma decisamente importante, è quello per cui sono, per esempio, contitolari del trattamento Facebook e l’amministratore di una fan page.
Gli amministratori di queste pagine, infatti, ottengono dati sui visitatori che, benché anonimi, sono loro messi a disposizione da una funzionalità sviluppata dal social media (Insights): il dato è raccolto tramite cookie con codice utente unico che viene installato da FBook sul dispositivo del visitatore e può essere associato ai dati di collegamento degli utenti registrati.
Con l’utilizzo di questi dati, anche se anonimi, l’amministratore della pagina può trattare dati demografici (età, sesso, situazione professionale o sentimentale, ecc.), informazioni sullo stile di vita, sugli interessi e sugli acquisti dei visitatori della sua pagina.
E’ un esempio “forte” ed è anche un’ipotesi in cui, tra l’altro, ben poco si può chiedere ad un titolare di una pagina business in merito a eventuali “contrattazioni” sul trattamento dei dati con un big player, ma conferma un indirizzo ormai consolidato, per il quale il semplice fatto di non avere accesso ad un dato non consente di ritenere che non vi sia trattamento e, nel caso di specie, di trattamento sostanzialmente “in comune” o frutto di una decisione “convergente”.
Poiché le ipotesi di contitolarità sono probabilmente molto più ampie di quante ne siano, in realtà, debitamente contrattualizzate, è opportuno valutare o rivalutare i propri accordi commerciali per verificare se non sia il caso di determinare con precisione ruoli e responsabilità di ciascuno.
Potrebbe essere una “svista” sanzionabile.
#privacy #dataprotection #roles #controllers #jointcontrollers