Enforcement Esg Legal I giusti ruoli privacy per governare la complessità di una Smart City Giuseppe Alve... 18 July 2023 Una corretta definizione dei ruoli privacy consente di governare la complessità e di evitare rilevanti sanzioni, come quella irrogata recentemente dal Garante Privacy ad un grande Players economico. Cds Compliance Privacy Un recente provvedimento sanzionatorio del Garante Privacy pone in evidenza l’importanza strategica di definire correttamente i ruoli privacy di organizzazioni pubbliche e private. Soprattutto in una Smart City. La complessità di una Smart City Una Smart City è un sistema molto complesso. Tale complessità è strettamente collegata anche al numero e al ruolo delle pubbliche amministrazioni e delle imprese. Queste, in relazione ai diversi scopi da realizzare, possono assumere i ruoli privacy di titolari, contitolari, responsabili o sub-responsabili dei trattamenti dei dati personali. Ogni ruolo è funzionale alla gestione di processi integrati, connessi, strumentali o di supporto, che comportano l’elaborazione massiva di dati personali dei cittadini/utenti. È una grande complessità che determina la necessità di definire correttamente il ruolo privacy di ciascun Player. Vediamo come farlo. Il titolare e contitolari del trattamento Il ruolo più importante da individuare è quello del titolare del trattamento che ha la responsabilità generale di tutti i trattamenti di dati personali, avendone il pieno controllo. Non a caso nella versione in lingua inglese del Reg. UE 2016/679 (il c.d. GDPR, che stabilisce la normativa europea in materia di privacy/data protection) tale ruolo è definito “controller”. L’art. 4 del GDPR definisce il titolare come il soggetto che stabilisce finalità e mezzi del trattamento. Diversi titolari che, per realizzare un progetto, determinano congiuntamente finalità e mezzi del trattamento assumono il ruolo di contitolari. Questi, in applicazione dell’art. 26 del GDPR, devono ripartire le rispettive responsabilità privacy tramite uno specifico accordo. Il responsabile e i sub-responsabili del trattamento Per l’esecuzione dei trattamenti di cui ha la responsabilità generale, il titolare può avvalersi di soggetti che sono chiamati ad agire “per suo conto”. I Garanti Europei nelle Linee Guida EDPB 7/2020 chiariscono che agire «per conto di» significa servire gli interessi di terzi e richiama la nozione giuridica di «delega». Nel caso della normativa in materia di privacy, il responsabile del trattamento è chiamato a seguire le istruzioni impartite dal titolare, tramite un contratto i cui contenuti riprendano almeno le indicazioni del paragrafo 3 dell’art. 28 del GDPR. Il responsabile del trattamento non deve trattare i dati in modo diverso da quanto indicato nelle istruzioni del suddetto titolare. Inoltre, se vuole avvalersi di sub-responsabili deve ottenere dal titolare una previa autorizzazione scritta, specifica o generale. Come individuare i giusti ruoli privacy. L’influenza determinante Talvolta il ruolo privacy di titolare del trattamento deriva da specifiche disposizioni giuridiche. Un chiarissimo esempio è dato dall’art. 13, comma 4 del D.Lgs. n. 24/2023 riguardante il whistleblowing. Tale norma indica, come titolari del trattamento, i soggetti del settore pubblico e del settore privato chiamati ad attivare e gestire canali di segnalazione interna per i whistleblowers. Il Garante Privacy, nel provvedimento sanzionatorio del 22 giugno 2023, richiamando le Linee Guida EDPB 7/2020, ha chiarito come poter individuare il titolare del trattamento in mancanza di specifiche disposizioni giuridiche. In questi casi, la qualifica di titolare deve essere stabilita sulla base di una valutazione delle circostanze concrete del trattamento. Occorre prendere in considerazione tutte le circostanze di fatto pertinenti al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione. La “valutazione fattuale” per governare la complessità in particolari contesti Sempre nel citato provvedimento sanzionatorio, il Garante Privacy ha chiarito che in particolari contesti, quali ad esempio quelli inerenti ai trattamenti posti in essere tramite applicazioni mobili, uno stesso soggetto può agire, comunque, contemporaneamente in qualità di titolare rispetto a determinati trattamenti, e in qualità di responsabile in ordine ad altri trattamenti. È sempre necessaria una valutazione fattuale considerato che la titolarità di un trattamento non deriva dalle caratteristiche soggettive di chi tratta i dati, ma dalle attività concretamente svolte da tale soggetto in un contesto specifico. Conclusioni Sulla base di quanto descritto, appare evidente che all’interno di una Smart City, per offrire servizi ad elevato valore non è sufficiente applicare il principio di “privacy by design”. Quindi, non basta progettare i processi allineandoli ai principi di protezione dei dati personali. Occorre, prodromicamente, definire correttamente i ruoli privacy di tutti i Players, al fine di erogare servizi di qualità e contestualmente consentire, in modo effettivo, ai cittadini/utenti il pieno controllo dei propri dati e un compiuto esercizio dei loro diritti privacy. Giuseppe Alverone
PRO
