Il contratto di contitolarità: il ruolo, i compiti e le responsabilità del soggetto capofila
Quando più parti determinano congiuntamente le finalità e i mezzi del trattamento di dati personali necessari alla realizzazione di uno specifico progetto sono considerati “Contitolari” del Trattamento secondo il combinato disposto degli articoli 4, par. 1, nr. 7 e 26, par. 1, del GDPR. Tale ipotesi può configurarsi ad esempio nella coproduzione di un’opera da parte di Fondazioni Lirico Sinfoniche in cui i Coproduttori hanno tra i propri scopi istituzionali la promozione dell’arte e della cultura teatrale, musicale e dello spettacolo in genere, nonché l’educazione musicale della collettività.
E questo perché nell’attuale quadro normativo, le linee di indirizzo legislativo per il riordino delle Fondazioni Lirico Sinfoniche richiedono di valorizzare le sinergie tra teatri nonché di ricercare forme di ottimizzazione delle risorse attraverso collaborazioni nelle produzioni, coproduzioni, scambio di spettacoli al fine di conseguire economie di scala nella gestione delle risorse.
Oppure si pensi all’ipotesi di una selezione pubblica di un concorso bandito da un distretto socio-sanitario in cui la contitolarità è configurabile perché i Comuni determinano congiuntamente le finalità e i mezzi del trattamento di dati personali necessari all’espletamento della procedura concorsuale definendo requisiti e prove che dovranno possedere ed affrontare i candidati.
Nell’esempio della coproduzione di un’opera ad esempio vi sarà una condivisione dei dati personali e di contatto condivisi tra i rispettivi contitolari per le finalità strettamente necessarie alle parti, compresi quelli relativi alla prestazione di lavoro e quelli di natura contabile-fiscale (es. royalties), di lavoratori autonomi e/o collaboratori ovvero relativi ai fornitori e degli spettatori.
Oppure, nel caso del concorso indetto da più pubbliche amministrazioni di un distretto socio-sanitario vi sarà una condivisione dei dati, anche di tipo particolare, dei candidati che partecipano alla selezione pubblica.
In queste due ipotesi per una efficace gestione del processo di selezione ed allestimento dell’opera è prassi nominare un soggetto che opererà come Capofila e quindi sarà destinatario di specifici obblighi e responsabilità tanto in ambito contrattuale che relativo alla protezione dei dati.
E di conseguenza, i contitolari dovranno delimitare gli obblighi rispetto ai quali risponderanno autonomamente e quelli da attribuire alla Capofila.
Tra i primi possiamo far rientrare la corretta tenuta del Registro dei trattamenti, all’adozione di un idoneo sistema di identificazione, autenticazione, autorizzazione di accesso del personale autorizzato ai dati, a quello di fornire all'interessato un’informativa sulla protezione dei dati, in conformità alle prescrizioni dell’art. 13 del GDPR, avendo cura di specificare che per i trattamenti esiste una contitolarità nonché alla nomina di un Amministratore di Sistema.
Tra gli obblighi da attribuire alla Capofila possiamo far rientrare quello della designazione dei fornitori in qualità di responsabili del trattamento, della gestione, come unico punto di contatto, dei diritti da parte degli interessati, del ruolo di coordinamento nella redazione di un’analisi dei rischi oppure, se necessario, di una DPIA. Inoltre, assumerà il ruolo di coordinatore per la gestione delle misure tecniche e organizzative idonee a garantire la minimizzazione dei rischi con obbligo di supervisione, anche mediante le rispettive organizzazioni interne, sull'effettiva e continua adozione di tali misure di mitigazione del rischio.
Di particolare pregnanza sarà poi la gestione delle violazioni in termini si riservatezza, integrità e disponibilità dei dati oggetto della contitolarità, cristallizzando il principio di buona fede per una cooperazione ottimale al fine di ottemperare a quanto previsto all’articolo 33 GDPR. Tali obblighi sono com’è ovvio incompleti e modulabili a seconda della finalità per cui diversi soggetti gestiscono congiuntamente uno specifico progetto.
Il ruolo dell’azienda o soggetto pubblico capofila sarà quello di coordinamento e di raccordo, con le responsabilità di tipo contrattuale interne nei confronti delle parti oggetto del contratto di contitolarità ex art. 82 GDPR, residuando un’azione di regresso contro gli altri contitolari (art. 82, par.5, GDPR).
Tale contratto di contitolarità, che non si risolva in una mera ricognizione delle norme generali ma che sia espressione delle dinamiche concrete del trattamento, dovrà trovare spazio una compiuta discipa nel caso in cui un contitolare si trovi al di fuori dello Spazio Economico europeo.
In tali casi, troveranno applicazione le norme relative al trasferimento dei dati verso Paesi terzi e la giurisprudenza della Corte di Giustizia dell’Ue - tra tutte le notissime sentenze Schrems I e II - in cui le parti dovranno destreggiarsi in questioni meta-giuridiche più vicine a contrapposizioni geopolitiche di Continenti che non condividono le medesime scale valoriali e, per il flusso di dati negli USA, nella cornice di ricatti e minacce delle bigtech buttati sul tavolo negoziale che è in atto tra la superpotenza tecnologica USA e quella normativa UE.
L’ineliminabile e mirabile elasticità del diritto dei dati personali nel rapporto con gli altri diritti fondamentali dovrà riflettersi concretamente nell’accordo di contitolarità e nei processi aziendali che si presumono, forse, già maturi alle sfide della circolazione lecita e protetta delle informazioni degli individui dopo quasi 4 anni dall’entrata in vigore del Regolamento generale sulla protezione dei dati.