Skip to content Skip to sidebar Skip to footer

Dal Garante tedesco il primo modello di accordo di contitolarità ex art. 26 GDPR

di Elena Forzano e Serena Sibona

1. L’iniziativa del Garante di Baden-Württemberg

Recentemente, l’Autorità garante per la protezione dei dati personali della regione Baden-Württemberg in Germania (di seguito, per brevità, “Garante”) ha predisposto un modello di accordo di contitolarità del trattamento dei dati personali ai sensi dell’art. 26 del Reg. (UE) 679/2019 (“GDPR”).

Il GDPR ha introdotto nel nostro ordinamento diversi principi volti ad armonizzare la normativa in materia di protezione dei dati personali. Tra questi, uno dei più importanti è quello dell’accountability, vale a dire di responsabilizzazione, che investe i soggetti coinvolti nel trattamento dei dati personali e, in primo luogo, il titolare del trattamento. Sulla base di questo principio, quest’ultimo deve essere in grado di determinare le misure operative, le valutazioni tecniche, le finalità e ogni altra scelta caratterizzante il trattamento dei dati personali.

 

Inoltre, ai sensi dell’art. 26 del GDPR, qualora due o più titolari del trattamento determinino congiuntamente finalità e mezzi di uno specifico trattamento, questi sono “contitolari del trattamento” e devono determinare a mezzo di accordo interno le rispettive responsabilità in merito all’osservanza degli obblighi scaturenti dal GDPR.

Il modello contrattuale predisposto dal Garante è molto interessante poiché l’art. 26 non entra nei dettagli in relazione alla disciplina del rapporto tra due (o più) contitolari e, pertanto, l’accordo tra gli stessi può essere diverso a seconda della fattispecie concreta.

Il Garante di Baden Württemberg ha così tentato di fornire una guida per la predisposizione di tali accordi ex art. 26 GDPR.

2. Il contenuto del modello

Il Garante ha optato per la predisposizione di un contratto bilaterale, ossia tra due contitolari. Tuttavia, in un’apposita premessa, il Garante ha sottolineato che l’accordo di contitolarità può essere stipulato anche tra più di due contitolari.

Dunque, il contratto disciplina i diritti e gli obblighi dei contitolari in relazione al trattamento congiunto di dati personali e specifica che i contitolari stabiliscono congiuntamente i mezzi e le finalità delle attività di trattamento di seguito descritte. Inoltre, il contratto trova applicazione anche a tutti i trattamenti di dati personali effettuati dai dipendenti dei contitolari o i responsabili del trattamento da questi nominati.

Il Garante sottolinea come, soprattutto nei trattamenti effettuati nell’ambito di progetti con più fasi, la contitolarità possa interessare anche solo una fase o parte di questa. In questi casi, è bene indicare precisamente i confini della contitolarità.

Successivamente, il contratto indica le basi giuridiche e le categorie di dati trattati e specifica quali ambiti o procedure ricadono sotto la responsabilità effettiva di un contitolare piuttosto che dell’altro, individuando per ciascuno di essi una rispettiva “sfera di competenza”.

Ai sensi del contratto, i contitolari adottano tutte le misure tecniche ed organizzative necessarie affinché i diritti degli interessati, in particolare ai sensi degli articoli da 12 a 22 del GDPR, possano essere garantiti in qualsiasi momento entro i termini di legge.

In aggiunta, i contitolari si impegnano a conservare i dati personali trattati in un formato strutturato, di uso comune e leggibile dai dispositivi informatici e garantiscono che saranno raccolti solo i dati strettamente necessari per il legittimo svolgimento della procedura nel rispetto del principio della minimizzazione dei dati sancito dall’art. 5 co. 1 lett. c) del GDPR.

Il contratto contiene anche l’impegno dei contitolari, in relazione alle rispettive sfere di competenza, a fornire all’interessato le informazioni di cui agli artt. 13 e 14 del GDPR in forma precisa, trasparente, comprensibile e facilmente accessibile (es.: quali categorie di dati sono trattati, le finalità del trattamento, gli eventuali destinatari, ecc.). Peraltro, se si utilizzano piattaforme online, è opportuno che le informazioni di cui ai suddetti articoli siano messe a disposizione degli interessati in un’apposita area del sito.

Nell’ottica di responsabilizzazione di ciascun contitolare e di tutela degli interessati, il contratto prevede che gli interessati abbiano sempre il diritto di rivolgere le loro richieste di informazioni ad entrambe le Parti, indipendentemente dalla struttura interna del rapporto.

Quanto al diritto di accesso degli interessati (art. 15 GDPR), che garantisce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di suoi dati personali e, eventualmente, l’accesso ai medesimi dati, il contratto prevede che i contitolari si forniscano reciprocamente le informazioni necessarie relative alle rispettive sfere di competenza in modo da garantire il rispetto degli obblighi informativi, e l’elenco delle persone da contattare per l’esercizio dei diritti.

In particolare poi, il contratto prevede che ciascun contitolare è tenuto a fornire immediatamente all’altro contitolare, su richiesta, tutti i dati necessari per la fornitura di informazioni agli interessati relative alla sua sfera di competenza. Inoltre, se i dati personali devono essere cancellati, i contitolari si devono informare reciprocamente in anticipo, fatto salvo il diritto dei contitolari di opporsi alla cancellazione a fronte di determinati obblighi di legge.

Qualora il registro delle attività di trattamento, o gli esiti di una richiesta, rivelassero irregolarità, i contitolari devono informarsi reciprocamente.

Tra gli obblighi informativi verso gli interessati, è inserito nel contratto anche l’obbligo dei contitolari di fornire a questi ultimi il contenuto essenziale dell’accordo di contitolarità in materia di protezione dei dati.

Il contratto stabilisce, inoltre, che i contitolari possano eseguire le notifiche all’Autorità di Controllo e le comunicazioni ai soggetti interessati nel caso di violazioni dei dati, ciascuno per le rispettive sfere di competenza oppure che uno solo dei contitolari esegua i suddetti adempimenti.

Peraltro, la documentazione che dimostri la corretta esecuzione dei trattamenti da parte dei contitolari deve essere conservata anche oltre la scadenza del contratto, purché in conformità con le facoltà e gli obblighi di legge.

Le parti devono inoltre impegnarsi affinché i rispettivi dipendenti trattino i dati nel rispetto della normativa applicabile, anche dopo la cessazione del rapporto di lavoro, e siano obbligati alla segretezza dei dati prima di intraprendere la propria attività.

Deve poi essere garantito autonomamente, da ciascun contitolare, il rispetto degli obblighi per la conservazione dei dati e l’adozione delle adeguate misure di sicurezza, soprattutto dopo la cessazione della collaborazione.

Con riferimento ai responsabili del trattamento, ciascun contitolare deve concludere con essi un contratto ex art. 28 GDPR, se incaricati al momento della sottoscrizione dell’accordo, mentre, qualora una parte intenda avvalersi di nuovi responsabili, potrà sottoscrivere con essi il suddetto contratto solo con il consenso scritto della controparte. Oltretutto, per rafforzare la qualità della tutela garantita, è possibile pattuire che vengano incaricati unicamente soggetti obbligati alla nomina di un responsabile della protezione dei dati.

Quanto al registro del trattamento, è necessario includere nello stesso una annotazione circa la natura di contitolarità o di titolarità autonoma, in relazione a ciascun trattamento.

Infine, con riferimento alla responsabilità per eventuali danni causati da trattamenti non conformi al GDPR, è prevista, da un lato, la responsabilità in solido dei contitolari verso terzi e, dall’altro, l’autonomia delle parti per la determinazione, caso per caso, della ripartizione della responsabilità nei rapporti interni.

3. Conclusioni

Essenzialmente, il contratto predisposto dal Garante è volto a fornire tutte le informazioni necessarie per delineare la responsabilità congiunta dei contitolari del trattamento, i motivi sottostanti la stessa e quali ambiti/fasi di un determinato procedimento ne sono coinvolti.

Ciò comporta maggior chiarezza per gli interessati, soprattutto ai fini dell’esercizio dei diritti a questi riconosciuti ai sensi degli artt. 13 e 14 del GDPR.

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.