Una delle novità introdotte dal GDPR è l’accordo interno tra contitolari del trattamento.
L’accordo interno può essere previsto quando “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento“.
Secondo le indicazioni dell’art. 26 del GDPR, i contitolari “determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 (…). L’accordo (deve) riflette(re) adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati”.
Presupposto dell’accordo interno tra contitolari è, dunque, la presenza di una codecisione in merito alle finalità ed a i mezzi di un determinato trattamento tra coloro che esercitano l’effettivo potere decisorio effettuando scelte, prendendo decisioni, impartendo ordini e direttive vincolanti ed esercitando funzioni di controllo in relazione ai dati personali.
In base ai requisiti stabiliti dall’art. 26 del GDPR, l’accordo interno tra contitolari del trattamento deve:
- essere trasparente;
- garantire all’interessato di poter esercitare i propri diritti;
- definire chi dei contitolari dovrà provvedere a fornire, al momento della raccolta, le informazioni di cui agli artt. 13 e 14 del GDPR;
- individuare, al proprio interno, le rispettive responsabilità, funzioni e ruoli.
Il GDPR impone che “il contenuto essenziale dell’accordo (sia) messo a disposizione dell’interessato”: l’interessato deve, quindi, essere informato dell’esistenza dell’accordo tra i contitolari, dato che solo conoscendone l’esistenza, può esercitare i propri diritti nei confronti e contro ciascun (con)titolare (art. 26, comma 3, GDPR).
Non viene, invece, richiesto (né tantomeno imposto) che l’accordo interno sia reso accessibile all’interessato nella sua integrità: la soluzione adottata dal Legislatore UE é comprensibile perché l’accordo – che, non a caso, è definito dal GDPR “interno” – disciplina “le rispettive responsabilità, funzioni e ruoli” tra contitolari e, quindi, ha un contenuto molto più ampio rispetto alle esigenze dell’interessato, che sono limitate all’esercizio dei propri diritti.
Nelle guide all’applicazione del GDPR il nostro Garante sottolinea che la contitolarità del trattamento “impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente”.
Considerata la finalità dell’accordo e la potenziale complessità che può raggiungere la disciplina dei “rispettivi ambiti di responsabilità”, soprattutto quando vi sia una pluralità di soggetti contitolari, pare logico concludere che – benché il GDPR non sia così esplicito al riguardo rispetto ad altre ipotesi (per esempio, in tema di nomina del responsabile del trattamento ex art. 28) – l’accordo interno debba avere forma scritta.
In questo senso mi sembra depongano sia le espressioni usate dal nostro Garante (“atto giuridicamente valido”) sia il principio di accountability: per dimostrare la mia estraneità ad una violazione del Regolamento, devo, infatti, poter documentare che quello specifico adempimento (ad esempio, la resilienza dei sistemi informatici) era stato demandato (internamente) ad un altro contitolare.
E’ pur vero che la contitolarità determina la responsabilità solidale di tutti i titolari del trattamento verso l’interessato, ma la ripartizione interna di competenze, ruoli e responsabilità, può comunque rilevare in caso di azioni di rivalsa e/o di manleva tra i contitolari (ad esempio, a fronte di un’azione civile di risarcimento promossa da un interessato ex art. 82 GDPR).
L’accordo interno tra contitolari può rivelarsi uno strumento utile per alcuni tipi di gruppi societari, dove non si è in presenza di una netta struttura gerarchica e dove vi siano, magari, risorse (di personale, di mezzi, di infrastrutture tecnologiche e/o informatiche) condivise tra i vari soggetti allo scopo di ottimizzare i costi (pensiamo, ad esempio, ai costi per la cyber security, che possono essere ripartiti su più soggetti che utilizzano un’infrastruttura condivisa dove vengono scambiati dati comuni a tutto il gruppo).
L’istituto potrebbe, inoltre, rivelarsi altrettanto utile in alcune Associazioni Temporanee di Imprese (ATI), dove più società collaborano tra loro, in modo paritetico ma con ruoli, compiti e funzioni tra loro complementari, scambiandosi reciproche informazioni (e, quindi, dati) per la realizzazione di uno specifico progetto.
In questi casi, l’accordo interno può costituire effettivamente un’ottima opportunità non solo nell’ottica della data protection ma anche per rendere più efficienti alcuni processi organizzativi, produttivi e/o decisionali.
In ogni caso, i titolari del trattamento coinvolti dall’accordo interno sono chiamati a ripensare i flussi informativi infragruppo nel loro insieme e tale analisi diviene utile anche per evitare duplicazioni o, peggio, sovrapposizioni di ruoli potenzialmente rischiosi per la protezione dei dati personali, come, ad esempio, in caso di ambiguità in merito all’effettivo responsabile di un determinato processo, con conseguenze negative che ricadrebbero, poi, su tutti i contitolari.