ETS come titolare del trattamento dei dati personali: adempimenti

Gli Enti del Terzo Settore (di seguito indicati anche con l’acronimo ETS) devono interfacciarsi con la disciplina dettata dal Regolamento UE n. 679/2016 in materia di protezione dei dati personali (General Data Protection Regulation, in seguito indicato anche con l’acronimo GDPR). In particolare, gli ETS assumono la veste di titolari del trattamento dei dati e devono prestare particolare attenzione alla conoscenza e all’applicazione della normativa e, soprattutto, sono tenuti a porre in essere molteplici adempimenti.

di Alessio Scaglia *

Il titolare del trattamento dei dati è quel soggetto (persona fisica o giuridica) che determina le finalità e i mezzi del trattamento dei dati personali (art. 4 GDPR). Se la definizione di titolare del trattamento appare semplice, molteplici sono, invece, gli adempimenti da porre in essere e le valutazioni che devono essere effettuate. La protezione dei dati personali è un tema che, al giorno d’oggi, non può certamente essere sottovalutato o trascurato anche alla luce delle severe sanzioni previste dal legislatore europeo. In questo contributo, dunque, dopo aver meglio delineato la figura del titolare del trattamento dei dati personali, saranno individuati i principali compiti che l’Ente del Terzo Settore deve assolvere in tale veste.

Il titolare del trattamento dei dati personali

L’art. 4, GDPR definisce il titolare del trattamento come:

“…la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Si tratta, in altri termini, del soggetto che assume ogni decisione in merito al trattamento dei dati personali e ne risponde in prima persona.

In questo senso, dunque, è corretto affermare, con un equivoco gioco di parole, che il titolare è responsabile del trattamento: egli, infatti, assume la responsabilità in merito al trattamento dei dati personali che effettua. Questa figura, tuttavia, non deve essere confusa con quella del c.d. responsabile del trattamento che è il soggetto che tratta i dati per conto del titolare. Gli equivoci linguistici derivano dalla traduzione della terminologia anglofona ove il titolare è detto data controller mentre il responsabile del trattamento è detto processor.

Con l’entrata in vigore del GDPR è possibile che, in relazione al medesimo trattamento, esistano più titolari (c.d. “contitolare del trattamento”).

L’European Data Protection Board1 (in seguito indicato anche con l’acronimo EDPB) ha recentemente pubblicato delle Linee Guida2 ove esamina il concetto di titolare del trattamento. Ad avviso dell’EDP, la definizione di titolare del trattamento contiene cinque elementi costitutivi:

  • la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo: il significato di questa parte di disposizione è quello di prevedere che chiunque possa essere considerato titolare del trattamento e, pertanto, anche un ente del terzo settore (pur se privo di personalità giuridica), può assumere la qualifica di titolare del trattamento dei dati personali;
  • determina: il secondo elemento costitutivo del concetto in esame, secondo le linee guida citate, si riferisce all’influenza di tale soggetto sul trattamento stesso, in forza del potere decisionale. Il potere decisionale e, quindi, la titolarità, può essere definita dalla legge o può derivare dall’analisi degli elementi di fatto o delle circostanze del caso;
  • singolarmente o insieme ad altri: questa precisazione significa che più soggetti possono agire in qualità di titolare per un medesimo trattamento e che a ciascuno di essi si applicano pertanto le pertinenti disposizioni in materia di protezione dei dati. Inoltre, le linee guida chiariscono che un soggetto può essere titolare del trattamento anche nel caso in cui non adotti tutte le decisioni in merito alle finalità e ai mezzi;
  • finalità e mezzi: si tratta di un altro elemento fondamentale della definizione. Secondo i chiarimenti fornite dalle linee guida, determinare le finalità e i mezzi significa decidere, rispettivamente, il “perché” e il “come” del trattamento;
  • del trattamento dei dati personali: le finalità e i mezzi determinati dal titolare devono riguardare il “trattamento dei dati personali”. Il concetto di trattamento è definito dall’articolo 4, paragrafo 2, GDPR che lo definisce come “…qualsiasi operazione o insieme di operazioni […] applicate a dati personali o insiemi di dati personali”. Il trattamento, dunque, può consistere tanto in una singola operazione quanto in una serie di operazioni.

Tutti gli elementi indicati sono molto importanti nella definizione del titolare del trattamento. Tuttavia, giova evidenziare che per l’individuazione di questa figura, la giurisprudenza ha avuto modo di soffermarsi in merito all’analisi dei poteri che competono a questo soggetto: la Corte di Giustizia Europea, infatti, ha chiarito che il titolare del trattamento deve essere individuato avendo riguardo alla situazione concreta (Corte di Giustizia Europea, C-40/17, Sentenza dd. 29 luglio 20193) e, quindi, verificando esattamente cosa esso faccia in merito all’assunzione delle decisioni sui mezzi e sulle finalità di trattamento. Laddove si dimostri che un certo soggetto abbia il potere di assumere tali decisioni, è da considerarsi titolare del trattamento.

ETS come titolare del trattamento dei dati

Calando la teoria generale sulla titolarità del trattamento dei dati personali all’interno del mondo del terzo settore, appare abbastanza evidente che ricorrono tutti i requisiti richiesti dal GDPR, come poi interpretati anche dall’EDPB nelle linee guida 7/2020, affinché l’ETS possa essere considerato titolare del trattamento.

L’ETS, infatti, svolge una determinata attività (rectius, persegue il proprio oggetto sociale): nello svolgimento di questa funzione si troverà nella condizione di dover decidere e stabilire le finalità del trattamento e i mezzi con cui i dati saranno trattati che, chiaramente, saranno strettamente correlati all’attività svolta.

Per esempio, l’ETS si troverà a trattare i dati dei propri associati, dei membri del consiglio direttivo, di eventuali dipendenti, ecc.

Nel determinare la finalità del trattamento, l’ETS dovrà preoccuparsi di raccogliere solamente i dati strettamente necessari alla realizzazione delle finalità stabilite (principio di minimizzazione dei dati).

L’ente del terzo settore è una persona giuridica (dotata o meno di personalità giuridica) che agisce in persona del legale rappresentante. Il soggetto che agisce quale legale rappresentante dell’ETS non è il titolare del trattamento. La titolarità resta sempre e comunque in capo all’ETS.

ETS come titolare del trattamento dei dati: obblighi e adempimenti

Il principio fondamentale che permea l’intero settore della protezione dei dati è il c.d. principio dell’accountability: il titolare del trattamento è colui che sopporta la responsabilità di garantire che i dati vengano trattati in modo sicuro, deve porre in essere tutto quanto necessario per perseguire questo obiettivo e, soprattutto, deve essere in grado di dimostrare di aver fatto in modo corretto tutto quanto fosse nelle sue possibilità. Pertanto, qualunque attività svolta, qualunque sia il trattamento di dati effettuati, anche l’ETS, in veste di titolare del trattamento, dovrà rendere conto, in primis a sé stesso ma, in caso di controlli, al Garante per la Protezione dei Dati Personali, di come sia organizzato il processo di trattamento dei dati all’interno della propria struttura.

L’ente del terzo settore, una volta stabilite le finalità e le modalità del trattamento, dovrà, per prima cosa, preoccuparsi di garantire che il trattamento dei dati sia effettuato secondo adeguati standard di sicurezza.

Il GDPR, infatti, ha introdotto due importantissimi princìpi che informano il trattamento dei dati:

  • privacy by default: il titolare del trattamento deve garantire che sia assicurata la protezione dei dati personali come impostazione predefinita, adottando tutte le misure tecniche organizzative all’uopo necessarie (per esempio adottando impostazioni che in modo automatico limitino la raccolta dei dati);
  • privacy by design: il titolare del trattamento deve anche progettare fin dall’origine del trattamento (e non solo nella fase di esecuzione) le misure tecniche e organizzative che saranno necessarie per assicurare la protezione proprio in relazione a quello specifico trattamento. Questa attività di progettazione, secondo quanto previsto dall’art. 25, GDPR, avviene tenendo conto dello stato dell’arte (ossia delle conoscenze tecniche), dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.

Gli adempimenti del titolare del trattamento

Alla luce di quanto esposto, si illustreranno di seguito gli adempimenti che deve porre in essere l’ETS, quale titolare del trattamento.

Come anticipato, l’ETS, sostanzialmente in base allo scopo individuato nel proprio oggetto sociale, dovrà individuare:

  • le finalità del trattamento: svolgimento attività sociale, gestione rapporto associativo, gestione rapporto di lavoro (compreso il volontariato), gestione eventuali locali (sistemi di videosorveglianza), eventuale attività commerciale, ecc.;
  • quali dati trattare: solo dati personali relativi all’identificazione del soggetto (dati anagrafici), particolari categorie di dati ex art. 9, GDPR (dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona);
  • quali mezzi utilizzare per il trattamento: il trattamento può essere effettuato con strumenti informatici, cartacei, in modo misto, possono essere usati sistemi di profilazione o di assunzione di decisioni automatizzate;
  • base giuridica del trattamento: l’ETS deve individuare e decidere se il trattamento viene effettuato in forza del consenso legittimamente prestato dall’interessato o se sussistono altre ragioni che lo legittima (per esempio, in base alla legge o per l’esecuzione di un accordo contrattuale);
  • quali soggetti sono destinatari dei dati: l’ETS deve valutare se i dati in suo possesso saranno comunicati a soggetti terzi e, in questo caso, dovrà valutare la necessità di nominare un responsabile del trattamento;
  • trasferimento dati all’estero: l’ETS deve valutare se i dati in suo possesso vengono trasferiti all’estero.
Il trasferimento di dati al di fuori dell’Unione Europea sussiste anche nel caso di archiviazione dei dati su sistemi cloud i cui server siano collocati in Paesi extra UE;
  • durata del trattamento: l’ETS deve determinare il periodo di durata massima del trattamento dei dati (e, dunque, anche della loro conservazione).

Inoltre, in base alla tipologia di dati trattati e dei rischi connessi allo specifico trattamento, occorre valutare se sia necessario procedere con la redazione della valutazione di impatto del trattamento (Data Protection Impact Assessment, in acronimo DPIA) e, inoltre, valutare se nominare il responsabile per la protezione dei dati personali (Data Protection Officer, in acronimo DPO)4.

Vi è un poi un adempimento di fondamentale importanza che consiste nella redazione dell’informativa privacy. L’informativa, ai sensi dell’art. 13, GDPR, deve essere fornita all’interessato, deve essere redatta in modo semplice e comprensibile ma al contempo deve essere completa di tutte le informazioni inerenti al trattamento. L’informativa può essere resa anche oralmente, ma il titolare del trattamento deve essere in grado di dimostrare di averla fornita.

Nello specifico, l’informativa, deve contenere i seguenti elementi:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sul legittimo interesse, l’indicazione dello stesso o di quelli perseguiti da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Inoltre, nel momento in cui i dati sono ottenuti, occorre fornire all’interessato le seguenti informazioni:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sul consenso prestato dall’interessato, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’ETS, inoltre, sempre in base alla tipologia di trattamento effettuato, ai dati trattati, alle proprie dimensioni organizzative, deve valutare se istituire il registro delle attività di trattamento dei dati, previsto dall’art. 30, GDPR.

L’adozione del registro è obbligatoria ad eccezione di specifiche ipotesi previste dall’art. 30, GDPR. Il Garante per la Protezione dei Dati Personali, tuttavia, ritiene che l’adozione del Registro anche in assenza dell’obbligo sia un comportamento prudente e di assoluta compliance rispetto alla normativa e, dunque, oltre ad essere suggerito, viene valutato positivamente (ovviamente, laddove sia correttamente compilato e tenuto).

Tra gli altri compiti che gravano sul titolare del trattamento, vi sono sicuramente quelli di individuare gli eventuali incaricati al trattamento (ossia quei soggetti che, materialmente, tratteranno i dati personali) e di dare loro adeguate informazioni su come effettuare il trattamento. A questo tema è strettamente connesso quello relativo alla formazione: il titolare in primis e i suoi incaricati devono effettuare la formazione necessaria per restare aggiornati in merito alla disciplina sulla protezione dei dati personali.

1 Si tratta del Comitato Europeo per la protezione dei dati ed è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE.

2 Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 19 ottobre 2020, in https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en.

3 Questa pronuncia, invero, è resa in relazione alla Direttiva 95/46/CE del 24 ottobre 1995, in vigore prima del GDPR ma il principio di diritto è certamente mutuabile anche sotto l’egida del GDPR.

4 Si pensi agli ETS che svolgono attività di soccorso sanitario, spesso convenzionati con le aziende sanitarie locali, per l’attività di urgenza/emergenza.

* Avvocato in Trento e referente dello Sportello Legale del C.O.N.I. – Comitato Provinciale di Trento

Fonte Seac spa