Destinatari dei dati

Inquadramento

I destinatari costituiscono una categoria ampia ed eterogenea di soggetti, risultando particolarmente rilevanti nella definizione dei flussi di dei dati personali. L’attenzione posta sui destinatari è indubbiamente uno dei mezzi più importanti per il perseguimento degli obiettivi del legislatore, che si articolano su due fronti principali: da un lato infatti il Regolamento UE 2016/679 (in seguito “GDPR” o “Regolamento”) è votato alla protezione dei dati e dell’individuo, dall’altro non possiamo dimenticare come il GDPR abbia tra le finalità la libera circolazione dei dati personali, garantendo però un importante livello di autodeterminazione, anche mediante la possibilità di controllo dei flussi di dati da parte del soggetto “interessato”.

L’identificazione dei destinatari è essenziale per il raggiungimento degli obiettivi del GDPR e per il rispetto delle norme rivolte verso i soggetti ivi identificati – titolare e responsabile - (si pensi agli artt. 13 e 14 relativi all’informativa, all’art. 15 sul diritto di accesso e all’art. 19, relativo alla notifica ai destinatari in caso di esercizio dei diritti da parte dell’interessato). Obblighi ancor più accentuati quando la comunicazione dei dati avviene verso i Paesi fuori dall’Unione Europea.

Il Regolamento fornisce una definizione di destinatario (art. 4, n. 9), permettendo all’interprete di intuire l’ampiezza di questa categoria di soggetti.

La definizione di destinatari nel GDPR

Per analizzare compiutamente il ruolo del destinatario dei dati è necessario partire dalla definizione fornita dal Regolamento. L'art. 4, par. 1, n. 9 GDPR identifica il destinatario come "la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi". La stessa definizione prosegue escludendo dalla categoria dei destinatari le autorità pubbliche che ricevono comunicazioni di dati nell'ambito di indagini di loro competenza, che rimangono comunque soggette alle norme in materia di protezione dei dati personali e al diritto dell'Unione o degli Stati applicabile.

La definizione si collega a quella di “terzo” che il Regolamento identifica come "la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo”, mantenendo una sostanziale sovrapposizione con la definizione di destinatario, ma al contempo escludendo i ruoli tipici identificati nel Regolamento, cioè l’interessato, il titolare, il responsabile e le persone autorizzate al trattamento facenti parte l’organizzazione di questi ultimi due. In questo senso, la posizione del terzo non si discosta dal concetto utilizzato in diritto civile, che si sostanzia in un’assenza di rapporto diretto con i soggetti che a vario titolo sono coinvolti nel trattamento. I concetti di destinatario e di terzo sono però concetti relazionali, che variano in funzione del punto di vista del soggetto che effettua la comunicazione. Se ai fini della identificazione dei destinatari non vi è rilevanza tra la posizione di terzo e quella di altro soggetto destinatario (come ad esempio un responsabile), tale distinzione assume importanza nell’indagine sulla legittimità della comunicazione stessa e cioè nella legittimità del trattamento deciso dal titolare.

Gli obblighi derivanti dalla presenza di destinatari

La presenza di destinatari nell'ambito del trattamento dei dati personali comporta per il titolare una serie di obblighi previsti nel Regolamento. Fra questi si possono evidenziare gli obblighi informativi, i quali però costituiscono solo la parte esteriore degli obblighi relativi all'idoneità del sistema organizzativo predisposto dal titolare.

Obblighi connessi ai diritti degli interessati

a)Gli obblighi informativi

Gli artt. 13 e 14 GDPR impongono al titolare l'obbligo di informare l'interessato sugli eventuali destinatari o categorie di destinatari dei dati personali. L'operazione richiede una corretta identificazione di tutti i destinatari dei dati per ottemperare agli obblighi informativi previsti. Inoltre, se fra i destinatari dei dati vi fossero soggetti presenti in Paesi fuori dall'Unione Europea o Organizzazioni Internazionali, il contenuto dell'informativa dovrebbe essere integrato con quanto previsto dalla lettera f), paragrafo 1, degli articoli 13 e 14 appena citati. Tale articolo rimanda ai meccanismi di legittimità del trasferimento (CAPO V del GDPR), specificando come, in assenza di una decisione di adeguatezza (art. 45 GDPR), il titolare debba fornire maggiori dettagli rispetto ai meccanismi adottati per il trasferimento.

Al fine di rendere maggiormente effettivo il diritto ad essere informati in modo chiaro e trasparente, l'art. 15 - relativo al diritto di accesso - stabilisce che l'interessato possa richiedere informazioni sul trattamento svolto e sui dati che lo riguardano, incluse le informazioni riguardo ai destinatari coinvolti nel trattamento. Nell'ambito dell'esercizio di accesso, inoltre, le informazioni sui destinatari che il Titolare deve rendere all'interessato sono più specifiche e puntuali e devono riferirsi agli specifici destinatari a cui sono stati comunicati i dati dell'interessato richiedente, piuttosto che a categorie generiche e a destinatari potenziali (cfr. Linee guida EDPB 1/2022 sui diritti degli interessati - Diritto di accesso Versione 2.1, Adottate il 28 marzo 2023).

b)Gli obblighi di notifica ai destinatari in relazione all'esercizio dei diritti

L'art. 19 GDPR prevede un meccanismo di propagazione dell'esercizio di determinati diritti da parte dell'interessato. Infatti, qualora l'interessato eserciti uno dei diritti previsti dal citato art. 19, il titolare è tenuto a comunicare ai destinatari gli effetti dell'esercizio dei diritti affinché si possano propagare, ove applicabile, le eventuali rettifiche, cancellazioni o limitazioni derivanti da tale esercizio. L'articolo in commento prevede comunque una eccezione: la comunicazione potrà essere omessa qualora si riveli impossibile o comporti uno sforzo sproporzionato per il titolare.

Registro dei trattamenti

Se le informative sono da considerarsi l’aspetto esteriore del sistema organizzativo dell’azienda, il registro dei trattamenti (art. 30 GDPR) costituisce la sua sintesi interna.

In merito ai destinatari dei dati personali, il GDPR richiede infatti che questi vengano indicati all’interno del registro dei trattamenti. L’annotazione dovrà tenere conto oltre che della loro presenza, anche dei trasferimenti extra UE e pertanto dei relativi meccanismi di trasferimento adottati ai sensi del Capo V del GDPR.

È importante rilevare che l’art. 30 del Regolamento richiede che il registro contenga “le categorie di destinatari a cui i dati personali sono o saranno comunicati […]”, non prescrivendo quindi una puntuale indicazione degli stessi a livello di registro. Se ciò è da considerarsi corretto in termini di rendicontazione sintetica delle attività di trattamento, è da rilevare che il titolare non può esimersi dall’avere una corretta e precisa identificazione dei destinatari dei dati, anche per le esigenze previste dal già citato articolo 19, oltre che per una corretta governance dei flussi di dati e dei relativi rapporti con i destinatari stessi.

Le categorie di destinatari

Come evidenziato nei precedenti paragrafi, al titolare spetta il compito di individuazione dei destinatari e del loro corretto inquadramento, ciò al fine di poter determinare i requisiti di legittimità del trattamento, oltre che per averne un effettivo controllo. Il Regolamento (e per l'Italia anche il d.lgs. 196/2003 – “Codice Privacy”) individuano dei ruoli tipici dei soggetti che a vario titolo sono coinvolti nel trattamento, diversi dall'interessato.

a)Persone autorizzate al trattamento dal titolare o dal responsabile

Strettamente connessi con l'organizzazione del titolare (o del responsabile) del trattamento, vi sono le persone autorizzate al trattamento. Se l'art. 29 del Regolamento introduce questa figura in modo poco esplicito utilizzando la locuzione “chiunque agisca sotto” l'autorità del titolare o del responsabile, in Italia la figura dell'incaricato (o autorizzato) al trattamento viene meglio precisata dall'art. 2-quaterdecies del Codice Privacy. L'articolo precisa che tale soggetto possa essere esclusivamente una persona fisica, alla quale il titolare (o il responsabile) abbia attribuito specifici compiti connessi al trattamento dei dati nell'ambito del proprio assetto organizzativo. Gli autorizzati dovranno quindi essere espressamente designati e tale designazione dovrà contenere funzioni, compiti e istruzioni per il trattamento dei dati personali.

In tema di accountability sarà necessario dar prova che tale designazione avvenga in maniera effettiva, ma allo stesso tempo il Codice Privacy (come il GDPR) nulla dice su quale debba essere la modalità di designazione, con ciò lasciando al titolare e al responsabile il più ampio margine organizzativo.

Il trattamento di dati svolto da questa categoria di destinatari sarà basato sugli stessi presupposti giuridici del soggetto autorizzante, essendo soggetti all'autorità di quest'ultimo. Una specifica eccezione a quest'ultima considerazione è fornita dall'Opinion 1/2010 del Gruppo WP 29 istituito dalla Direttiva 95/46/CE, nella quale si afferma che ancorché il dipendente sia parte dell'organizzazione, qualora acceda a dati personali per i quali non ha ricevuto l'autorizzazione, questo soggetto debba ritenersi un terzo, con tutte le relative conseguenze e le responsabilità in termini di liceità della comunicazione e di trattamento dei dati. Tale assunto appare corretto nella misura in cui l'accesso del dipendente risulti illegittimo e quindi non si possa affermare che il trattamento svolto dal soggetto erediti i presupposti di legittimità del titolare stesso. Si tenga presente che comunque in tale evenienza dovrà essere valutata anche la violazione dei dati personali, così come prevista dall'art. 33 GDPR.

Dal punto di vista sia tecnico che organizzativo, l'atto autorizzativo (analogamente a quanto previsto per il responsabile del trattamento – come si vedrà di seguito) assume particolare rilevanza e merita dunque particolare attenzione.

b)Responsabili del trattamento

I responsabili del trattamento sono forse la categoria più nota tra i destinatari, nonché quella che comporta maggiori criticità. L'articolo 28 GDPR prescrive i contenuti essenziali dell'atto giuridico tra titolare e responsabile. Il paragrafo 3 infatti richiede la presenza di un “contratto o altro atto giuridico” nel quale sia precisato il trattamento (categorie di dati e di interessati, finalità, ecc.) affidato al responsabile, nonché un elenco di contenuti normativi volti a regolare il rapporto e le rispettive responsabilità. Senza voler entrare in una disamina più approfondita, preme evidenziare come, la mancanza di tale atto giuridico costituisca un grave difetto di legittimazione per il responsabile a trattare i dati personali per conto del titolare del trattamento (sul punto v. provv. del 20 giugno 2024, n. 373, doc. web 10039553, che richiama espressamente la Cass., Sez. I civ., sent. n. 35256 del 18 dicembre 2023). Discorso analogo è da svolgersi anche con riguardo alla figura del cd. sub-responsabile del trattamento (o altro responsabile), il quale opera in virtù di una doppia autorizzazione (la prima proveniente dal titolare stesso – sia essa generale che specifica –, e la seconda proveniente dal rapporto con il primo responsabile). Tale doppia autorizzazione non dovrà però esser interpretata come una assunzione di piena responsabilità di controllo da parte del titolare (primo autorizzante), in quanto, come ben precisato nel Regolamento, il primo responsabile conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

La legittimità del trattamento dei dati svolto dai responsabili del trattamento è quindi direttamente derivante dall'attribuzione dell'incarico proveniente dal titolare. Non sarà dunque necessario individuare una ulteriore base giuridica relativa alla comunicazione dei dati a questo destinatario.

Sempre con riguardo al contenuto dell'autorizzazione, particolare rilevanza hanno i contenuti relativi alle istruzioni documentate. È con queste istruzioni che si può determinare da un lato il corretto adempimento e la relativa responsabilità del responsabile, dall'altro una eventuale violazione delle prescrizioni che potrebbero comportare un diverso inquadramento di quest'ultimo (da responsabile a titolare) come previsto dal paragrafo 10 dell'Art. 28 del Regolamento.

c)Altri titolari del trattamento

Un altro ruolo assunto da un destinatario può essere quello di titolare del trattamento. Questi soggetti rientrano tipicamente nella definizione di terzo.

In questo caso il titolare che effettua la comunicazione è tenuto all'identificazione di una idonea base giuridica per legittimare il proprio trattamento di comunicazione, così come il terzo destinatario dovrà dotarsi di idonea base giuridica per il suo successivo trattamento sui dati ricevuti.

Come ribadito in diverse circostanze dal Garante italiano, è importante tenere a mente che la base giuridica legittimante la comunicazione ad altro titolare non costituisce necessariamente la base giuridica del trattamento del destinatario. Sul punto le casistiche di maggior rilievo riguardano la comunicazione di dati a terzi (titolari) per finalità di marketing, basata sull'acquisizione del consenso da parte del primo titolare. In questi casi il Garante ha affermato il principio secondo cui l'idoneità della base giuridica che permette la comunicazione al terzo non legittima a sua volta il terzo rispetto al successivo trattamento e che questi pertanto dovrà, se del caso, richiedere a sua volta uno specifico consenso, nei casi in cui le finalità del trattamento lo prevedano.

Tornando alla posizione soggettiva del primo titolare, la fattispecie di comunicazione a terzi – che agiscono in qualità di titolari – non è limitata alla sola base giuridica del consenso. Esistono infatti ulteriori casi e dunque basi giuridiche utilizzabili nel contesto delle comunicazioni ad altri titolari del trattamento. Esaminando le basi giuridiche possiamo evidenziare quanto segue:

• Consenso o contratto (o misure precontrattuali) (art. 6.1 a. e b.): presuppongono entrambe che l'interessato sia concorde con la comunicazione dei dati ad un soggetto terzo (altro titolare), in quanto nel primo caso esprime il proprio libero consenso per la comunicazione, mentre nell'ambito di un rapporto contrattuale, l'aspetto consensuale dell'accordo è comunque requisito essenziale alla sua conclusione;
• Obbligo legale (art. 6.1 c. ed e.) e interesse pubblico: escludono l'aspetto consensuale del trattamento o del rapporto giuridico, demandando ad una fonte di rango superiore (la legge o, nei casi esplicitati dall'articolo 2-ter del Codice, un atto amministrativo generale o prerogative basate su interesse pubblico o esercizio di pubblici poteri tipiche di amministrazioni pubbliche e società a controllo statale) il requisito di legittimità della comunicazione;
• Interesse vitale dell'interessato o di altra persona fisica (art. 6.1 d.): anche in questo caso troviamo l'esclusione degli aspetti consensuali ed è il Regolamento a fornirci il parametro del bilanciamento degli interessi, cioè gli interessi vitali dell'interessato o di un terzo (persona fisica);
• L'interesse legittimo (art. 6.1 f.): comporta la scelta autonoma del titolare di eseguire la comunicazione verso altro titolare, non ottenendo alcuna legittimazione esterna (come nel caso delle precedenti basi giuridiche esaminate). L'interesse legittimo è però una base giuridica legittimante la comunicazione che pone il titolare nella posizione di dover svolgere un bilanciamento dei propri interessi rispetto a quelli dell'interessato e procedere alla comunicazione verso altro titolare solo quando tale bilanciamento rivela una prevalenza dei primi e non comporta lesioni per i diritti e le libertà degli interessati.

Rispetto alla scelta del terzo, sia il consenso che l'interesse legittimo (in diversa misura) pongono il titolare nella posizione di scegliere il soggetto passivo della comunicazione, anche se tra le due il consenso si può considerare una base giuridica, per così dire, più consapevole, in quanto preceduta da una fase di informazione e accettazione. Per questo motivo è opportuno che la comunicazione fra titolari sia regolata da uno specifico contratto, che definisca i reciproci obblighi in materia di protezione dati (ad esempio rispetto agli oneri informativi o ai requisiti del consenso), in modo da definire con chiarezza i compiti di ciascuno dei due soggetti in ambito di tutela dei dati personali, sebbene questi siano indicati dalla norma.

Aspetti connessi alla responsabilità

Rispetto alle distinzioni dei ruoli appena svolte, il tema della responsabilità è di particolare importanza, soprattutto nel rapporto tra titolare e responsabile del trattamento. Sono infatti questi i due ruoli di maggior rilievo all'interno del Regolamento, il cui testo esprime compiutamente gli obblighi a cui tali soggetti sono tenuti di adempiere, esplicitando anche le rispettive responsabilità (in particolare gli artt. 28 e 82 GDPR). Indubbiamente il titolare è il ruolo sul quale ricadono i maggiori oneri, in particolare quelli di verifica e monitoraggio del trattamento, oltre che di controllo dei soggetti che autorizza. Come anticipato, l'art. 29 GDPR prevede due categorie di soggetti destinatari di autorizzazione: gli incaricati al trattamento (che agiscono sotto l'autorità del titolare o del responsabile) e i responsabili del trattamento. Per i primi, nell'ambito dell'esecuzione dei loro compiti, la responsabilità dovrà ritenersi direttamente nei confronti dell'autorizzante. Ciò in quanto il rapporto esistente fra gli incaricati e il titolare (o il responsabile) deve considerarsi di tipo organico e il titolare è tenuto a compiere ogni ragionevole sforzo affinché la sua organizzazione sia conforme alle prescrizioni del Regolamento.

Come anticipato, nel rapporto esistente tra titolare e responsabile gli artt. 28 e 82 GDPR, offrono una disciplina sufficientemente completa, volta a garantire in primo luogo un'individuazione certa delle responsabilità, ma anche un esercizio effettivo dei diritti e delle eventuali pretese risarcitorie, stabilendo appunto criteri di solidarietà e regresso.

L'articolo 28 GDPR specifica anche i comportamenti virtuosi a carico del titolare, stabilendo che quest'ultimo è tenuto ad individuare responsabili che siano in grado di mettere in atto misure tecniche e organizzative adeguate. L'obbligo però non si esaurisce nel momento selettivo, ma prosegue, come confermato dalla lettera h. del paragrafo 3, con cui si prescrive al titolare di effettuare opportuni controlli sul responsabile.

In termini di responsabilità rispetto all'identificazione e all'esecuzione, sia dell'incaricato che del responsabile, il titolare potrà essere chiamato quindi a rispondere in termini di colpa in eligendo (fase selettiva) e in vigilando (fase esecutiva).

Residua poi la necessità di identificare caso per caso come e se possa configurarsi un qualche regime di responsabilità nei rapporti tra titolari. Fermo restando che l'atto comunicativo comporta una duplicazione del trattamento, “esaurendosi” per il titolare comunicante nella comunicazione stessa mentre per il titolare ricevente la ricezione darà inizio al suo trattamento e ai relativi oneri, a parere dello scrivente, nei casi in cui la scelta del terzo sia rimessa a discrezione del titolare, questi debba necessariamente valutare l'idoneità del soggetto e se del caso monitorare gli eventuali obblighi, ancorché non vi siano su questo tema prescrizioni specifiche all'interno del Regolamento.