Constato con piacere che, a diversi anni dalla sua pubblicazione, l’articolo del mio blog intitolato “Il titolare autonomo del trattamento chi come quando” resta di gran lunga la pagina più letta del mio sito, con numerose visite quotidiane.
La ragione è presto detta: la figura del titolare autonomo non è considerata dalla normativa, GDPR in primis, ma è spesso utilizzata nella prassi, ed i contributi che si possono trovare online sul tema sono numericamente piuttosto scarsi. Nel frattempo, il tempo trascorso mi ha permesso di maturare una maggiore esperienza sul tema, ed oggi voglio arricchire l’argomento già affrontato con dei nuovi contenuti.
Il mio precedente contributo era finalizzato principalmente a contrastare l’abuso della figura del titolare autonomo, ovvero a smascherare le situazioni nelle quali il soggetto ricevente i dati (spesso, dal punto di vista commerciale, un fornitore del titolare) vorrebbe potersi configurare come titolare autonomo, quando invece il suo ruolo, essendo funzionale al perseguimento delle finalità del titolare, è riconducibile (eventualmente) a quello del responsabile del trattamento. Non di rado, è lo stesso fornitore / ricevente a predisporre e proporre al titolare un DPA (Data Processing Agreement / Addendum) con il quale pretende il riconoscimento di detto ruolo. Operazione in astratto pericolosa, perché firmando questo tipo di accordo, il titolare a) potrebbe incorrere in una violazione dei dati delle persone interessate, se la cessione risultasse non giustificata b) perderebbe il controllo sui dati stessi, non avendo il titolare autonomo alcun obbligo di rendere conto del suo operato al primo titolare. Molto spesso questa operazione non è necessaria e va contrastata per quello che è: un tentativo legalmente discutibile di arricchire le proprie banche dati a vantaggio del proprio business.
Ci sono, tuttavia, delle situazioni nelle quali la titolarità autonoma trova una giustificazione; poiché è importante distinguere il corretto uso dall’abuso, oggi voglio approfondire con esattezza questo tema, e descrivere alcuni casi.
La prima ipotesi, che si inserisce nel rapporto cliente / fornitore, è quando il trasferimento del dato dal primo al secondo ha come conseguenza che il soggetto interessato stipula un contratto autonomo con il fornitore. Se il primo titolare eroga un servizio a favore di un suo cliente avvalendosi di un fornitore senza che sia necessaria la stipulazione di un contratto tra fornitore e primo cliente, si configura (eventualmente) un responsabile del trattamento; viceversa se è necessaria la stipula di un contratto, avremo una funzione di titolare (autonomo) eventualmente affiancata ad una figura di responsabile. Attenzione però: la stipulazione del contratto autonomo deve risultare una necessità, e non una semplice opzione data dalla necessità di attribuire la funzione di titolare autonomo al fornitore. Inoltre, quanto più è libera l’adesione al contratto da parte del soggetto interessato, tanto più sarà giustificato il ricorso alla titolarità autonoma.
Per fare un esempio, l’agente immobiliare che riceve dal privato l’incarico di reperire un immobile a suo uso è il primo titolare, l’impresa di costruzioni che vende l’immobile allo stesso privato sarà (pur ricevendo i dati dall’agente) titolare autonomo, perché è il privato che in libertà valuta l’acquisto dell’immobile andando a stipulare un contratto distinto e con finalità proprie (rispetto all’incarico all’agente).
Talvolta, tuttavia, la linea di demarcazione è molto sottile, per esempio quando la scelta del fornitore da parte della persona interessata non è del tutto libera, oppure quando la necessità di un contratto autonomo non è certa. In questi casi, il rapporto va interpretato utilizzando anche il parametro della autonomia (di fatto) del fornitore nell’organizzare il trattamento dei dati e nel definirne le finalità. Detta autonomia è più forte quando il business (in senso lato) del fornitore è distante dal business (in senso lato) del primo titolare.
Un esempio potrebbe essere la “piattaforma welfare” che un datore di lavoro mette a disposizione dei dipendenti allo scopo di erogare beni e servizi in esenzione fiscale. Certamente la persona interessata / dipendente non ha alcuna autonomia nello scegliere il fornitore della piattaforma (perché la scelta è fatta a monte dal primo titolare / datore di lavoro); pure la necessità di un contratto autonomo tra piattaforma e dipendente è in teoria discutibile; tuttavia, l’attività della piattaforma è talmente distante dall’attività del primo titolare da giustificare la titolarità autonoma, perché esclude la possibilità che il primo titolare impartisca istruzioni pertinenti al secondo titolare. Naturalmente, questa circostanza non deve derivare da un disinteresse del primo titolare nel fornire istruzioni alla controparte, ma da una oggettiva difficoltà / impossibilità a farlo.
Ne consegue che, pur in presenza di un rapporto contrattuale tra primo e secondo titolare e in assenza di un rapporto contrattuale tra interessato e secondo titolare, in alcune circostanze può sussistere la titolarità autonoma, come peraltro ben esemplificato nelle Linee Guida EDPB 07/2020 del 02/09/2020.
Naturalmente, anche la titolarità autonoma può essere regolata contrattualmente, sebbene il GDPR non faccia menzione di tale strumento; ed anzi, è assolutamente opportuno e consigliato che lo sia. Un contratto tra primo e secondo titolare (lo possiamo chiamare DPA al pari del contratto di nomina del responsabile) sarà uno strumento utile per lasciare traccia documentale condivisa delle ragioni per le quali i dati saranno trasferiti tra i due titolari senza la nomina a responsabile del trattamento del secondo, ma al tempo stesso potrà regolamentare, in modo vincolante per le parti, l’uso che il secondo titolare farà dei dati stessi, manlevando il primo titolare da eventuali abusi e tutelandolo da rischi, ad esempio, di iniziative commerciali in concorrenza.