La con-titolarità del trattamento dei dati personali

L’accordo di gestione tra i cosiddetti <<contitolari del trattamento dei dati personali>>  

 

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento stesso, essi sono contitolari.

L’art. 26 del Regolamento Europeo n. 679/2016, al proposito, ha posto dei nuovi obblighia carico delle parti le quali, invero, devono perciò stipulare un accordo per la gestione del detto rapporto di con-titolarità.

Al proposito si devono, inoltre, stabilire, in modo trasparente, le rispettive responsabilità in merito all'osservanza degli obblighi posti dal Legislatore sovranazionale.

Peraltro, tale incombente non sempre è di immediata ed agevole percezione, e ciò, almeno, sotto un duplice profilo. 

1)

Occorre, anzitutto, individuare, caso per caso, le ipotesi inquadrabili nella fattispecie in esame. 

Vediamone sinteticamente alcune. 

Nell’ambito di una realtà aziendale che opera nel settore socio sanitario, i casi più verosimilmente tipici di contitolarità, a mero titolo esemplificativo e non esaustivo,  potrebbero configurarsi tra gli operatori economici che hanno costituito un raggruppamento d’impresa per la gestione di un servizio in ambito socio sanitario. 

Oppure, sempre con riferimento al detto settore, altra ipotesi di con-titolarità potrebbe riguardare il rapporto in essere tra un operatore economico ed il medico o il fisioterapista, qualora si tratti di collaboratori autonomi esterni. 

2)

Da osservare che, una volta stabilita l’applicazione dell’art. 26 del Regolamento UE, occorrerà pure concordare il contenuto del contratto, volto a disciplinare, caso per caso, la detta contitolarità. 

Al proposito il Regolamento Europeo è poco chiaro e, ad oggi, sul punto, mancano esaustivi chiarimenti del Garante. 

Pertanto, sempre a titolo esemplificativo, nell’ottica del principio di responsabilizzazione, si ritiene opportuno che l’atto negoziale di con titolarità indichi almeno: 

a) i rispettivi contatti del Titolare e del Responsabile del Trattamento, nonché, ove esistenti, dei Sub-Responsabili e del Responsabile per la Protezione dei dati personali; 

b) i meccanismi di coordinamento per gestire eventuali ipotesi di data breach; 

c) le rispettive responsabilità, connesse agli archivi (cartacei o digitali) dei dati personali sotto la propria disponibilità; 

d) le azioni applicate per diffondere, al proprio rispettivo interno, i principi fondamentali posti a presidio del dato personale e di una sua corretta circolazione; 

e) le misure di sicurezze idonee, al proprio interno, al fine di circoscrivere l’ipotesi in cui l’altro contitolare, in caso di accertata violazione dei dati personali, possa essere indotto ad imputare una denegata responsabilità (anche/con) in capo all’altro operatore. 

In conclusione, già da quanto sopra preliminarmente indicato emerge, ancora una volta, come il “fai da te” ed un approccio “di copia ed incolla” risulterebbero non idonei per adempiere ad uno dei tanti obblighi previsti dal Regolamento Europeo n. 679/2016. 

Breve contributo informativo.

A cura dell'Avv. Davide Cicu