La Circolare 5-2021 sulla corretta qualificazione dei soggetti esterni ‘destinatari’ dei dati personali
La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità.
Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi: la corretta valutazione del ruolo assunto o comunque ricoperto dai soggetti esterni che a vario titolo hanno rapporti contrattuali/convenzionali con il titolare intervenendo nelle attività di trattamento e la loro corretta qualificazione sono elementi fondanti della legittimità del trattamento di comunicazione effettuato, della relativa allocazione delle responsabilità, dell’adozione delle misure tecniche e organizzative adeguate, della predisposizione del set documentale e procedurale a corredo, nonché garanzia dell’effettivo esercizio dei diritti degli interessati, quindi, in ultima analisi, dell’accountability del titolare.
A tale proposito, il Regolamento europeo definisce all’art. 4 punto 9 il “destinatario” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.” e al successivo punto dello stesso articolo il “terzo” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
Si tratta dunque dell’ampia categoria di soggetti, interni o esterni all’organizzazione, a vario titolo destinatari della comunicazione di dati personali, che devono essere correttamente qualificati in funzione del ruolo effettivamente assunto nel contesto delle attività di trattamento di cui si tratta.
Tuttavia, con particolare riguardo ai soggetti esterni, a ormai tre anni dalla piena applicazione del Regolamento, questo processo di valutazione e qualificazione incontra ancora non poche difficoltà, in parte dovute all’oggettiva difficoltà di interpretare situazioni complesse, in parte causate da formalismo o eccessivo determinismo che mal si conciliano con la richiesta di attenzione alla sostanza ed effettività che caratterizza il Regolamento europeo.
L’analisi svolta riprende la classificazione dei ruoli previsti dall’attuale impianto normativo, la attualizza e la arricchisce con ulteriori elementi di valutazione tratti in particolare dalle Linee Guida 07/2020 pubblicate dall’European Data Protection Board e dai più recenti interventi delle Autorità Garanti in materia, con particolare riferimento all’Autorità nazionale, attinenti il processo di qualificazione e classificazione dei ruoli soggettivi assunti dai diversi attori che partecipano al trattamento dei dati personali. (Per approfondimenti, vedasi la Circolare N.5-2021 di Federprivacy "La corretta qualificazione dei soggetti esterni «destinatari» dei dati personali")
In conclusione, tuttavia, pur riconoscendo l’arricchito bagaglio di fonti interpretative cui attingere, risulta innegabile il permanere di alcuni elementi di incertezza emersi anche in alcuni casi concreti oggetto di valutazione: si confida però che le analisi svolte case by case e la loro documentabilità si configurino di per se stesse quale elemento di accountability.