La sicurezza delle informazioni e le operazioni non essenziali: il ruolo titolare-responsabile nelle piattaforme informatiche
La definizione dei ruoli dei vari soggetti protagonisti di uno specifico trattamento di dati personali avviene, nella maggior parte dei casi, in maniera molto agevole, quasi automatica. In fin dei conti si tratta solo di assegnare uno specifico ruolo a tutte le aziende e le figure protagoniste in scena, che quasi si muovono come dei personaggi in cerca d’autore. Oramai è chiaro che il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; parimenti è ben noto che il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il contratto o l’atto che deve essere sottoscritto dalle parti sembra essere entrato come dato acquisito nella gestione ordinaria degli adempimenti in materia di protezione dei dati.
Come già affermato dal Legislatore europeo nella direttiva 95/46/CE l'analisi del concetto di titolare e responsabile del trattamento deve essere effettuata seguendo un approccio pragmatico mediante l'utilizzo del c.d. criterio funzionale; applicando questo criterio, ad esempio, si è ritenuto che:
"laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di telecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera, di norma, titolare del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato e non la persona che presta il servizio di trasmissione; […] tuttavia le persone che prestano tali servizi sono di norma considerate titolari del trattamento dei dati personali supplementari necessari per il funzionamento del servizio"
La gestione della sicurezza delle informazioni, riferito ad esempio allo sviluppo di App, invece è uno di quei particolari casi in cui tale analisi risulta oggetto di conflitto e di opposte soluzioni tra le parti. Tale conflittualità rischia di bloccare il progetto condiviso tra più aziende o, peggio e con una probabilità di accadimento maggiore, all’esiziale risultato di immobilismo, di non attuazione di quelle regole che poi non sono altro che il rispetto dei diritti fondamentali dell’individuo.
Come ben scrive l'Edpb se non è abbastanza chiaro chi deve fare cosa vi è un ovvio rischio che succeda ben poco, se non addirittura niente, e che le disposizioni giuridiche rimangano lettera morta.
Accade spesso inoltre che interpretazioni ambigue portino a rivendicazioni contrastanti e ad altre controversie, nel qual caso gli effetti positivi sarebbero inferiori alle aspettative o potrebbero essere ridotti o neutralizzati da impreviste conseguenze negative. In tutte queste situazioni, la sfida fondamentale consiste quindi nel fare sufficiente chiarezza per consentire e garantire un'efficace applicazione e osservanza nella pratica delle norme sulla protezione dei dati. In caso di dubbio, potrebbe essere privilegiata la soluzione più atta a sortire tali effetti.
Il presente contributo tenta di fornire utili criteri interpretativi agli operatori per una corretta ripartizione dei ruoli privacy tra i vari soggetti, cercando di superare l’apparente aporia contenuta nel seguente parere dell’Edps nel caso Etias.
Il parere Edps - Le argomentazioni contenute nel parere dell’EDPS (European data protection supervisor) nelle Linee Guida sui concetti di titolare, responsabile e contitolari secondo il Reg. (EU) 2018/1725 anche se indirizzate alle istituzioni dell’UE si prestano ad un’applicazione estensiva.
Trattasi di argomentazioni su concetti generali valevoli per gli altri settori, compreso quello disciplinato dal Gdpr.
Ebbene, l’Edps muove le proprie argomentazioni dal concetto di operazioni non essenziali; attività che esulano da quelle principali dettate dal titolare del trattamento. Quindi, una volta delimitato l’ambito interpretativo del criterio delle operazioni non essenziali, possiamo concludere che il soggetto a cui spettano tali attività sia, senza alcun dubbio, un responsabile del trattamento.
Il responsabile del trattamento può godere di un notevole grado di autonomia nella fornitura dei propri servizi e può identificare gli elementi non essenziali dell'operazione di elaborazione dei dati; tra le operazioni non essenziali l’Edps individua anche quello della sicurezza delle informazioni.
In particolare, si chiarisce che tra i mezzi non essenziali delle operazioni di elaborazione dei dati personali vi siano il software da utilizzare o le misure tecniche di sicurezza e organizzative da implementare.
Tuttavia, nel suddetto parere si cita l’esempio della gestione della sicurezza delle informazioni del sistema centrale Etias.
Etias è un sistema europeo di informazione e autorizzazione ai viaggi (Etias) per i cittadini di paesi terzi esenti dall’obbligo di possedere un visto al momento dell’attraversamento delle frontiere esterne («obbligo di visto») che permette di valutare se la presenza di tali cittadini di paesi terzi nel territorio degli Stati membri rappresenti un rischio per la sicurezza, di immigrazione illegale o un alto rischio epidemico.
Questo è un chiaro esempio di applicazione del criterio funzionale e di come una società che offra un supporto tecnologico possa essere considerata come titolare del trattamento e al contempo anche responsabile del trattamento per gli ulteriori trattamenti.
All'articolo 57 del Regolamento UE 2018/1240 infatti si stabilisce che è "l'Agenzia europea della guardia di frontiera e costiera è considerata titolare del trattamento ai sensi dell’articolo 2, lettera d), del regolamento (CE) n. 45/2001 in relazione al trattamento di dati personali nel sistema centrale Etias. Relativamente alla gestione della sicurezza delle informazioni del sistema centrale Etias, è da considerarsi titolare del trattamento eu-Lisa.
Poi all'art. 58 si dice espressamente che: eu-LisA è considerata responsabile del trattamento in relazione al trattamento di dati personali nel sistema d’informazione Etias.
Conclusioni - Come conciliare quindi le dotte argomentazioni dell’Edps con l’esempio Etias (EU-Lisa) citato nel medesimo parere quale apprezzabile esempio virtuoso per le istituzioni dell’Unione Europea di designazione preventiva in via legislativa dei ruoli ai fini privacy?
Detto in altri termini: perché mai l’Edps afferma che il soggetto che si occupa della sicurezza delle informazioni sia da qualificare come responsabile ex art. 28 Gdpr anche avendo lo stesso ampi margini di manovra e, al contempo citare espressamente l’esempio Etias rispetto al quale lo stesso Legislatore ha configurato il partner tecnologico eu-Lisa titolare del trattamento?
La soluzione a tale quesito potrebbe venire dall’applicazione nel caso concreto dei criteri di:
1. complessità del trattamento
2. equiparazione giuridica delle parti coinvolte
3. elevato numero di interessati
4. frazionamento delle singole operazioni di trattamento.
Traslando tale approccio al mondo delle App per esempio, e applicando quindi tali criteri, possiamo dunque concludere che anche la società sviluppatrice di un’App - soprattutto se si pensa ad una piattaforma informatica utilizzata da più interessati e che coinvolge soggetti anche pubblici che offrono i propri servizi - possa qualificarsi pienamente come titolare del trattamento limitatamente alla gestione, progettazione e sviluppo della piattaforma elettronica, residuando invece per gli eventuali ed ulteriori trattamenti la qualifica di responsabile del trattamento ex art. 28 Gdpr.
Rendendo tale aporia contenuta nel parere dell’Edps solo apparente e la responsabilizzazione (accountability) dei soggetti coinvolti un principio immanente della protezione dei dati.