La sanzione comminata dall’Autorità Garante per la protezione dei dati personali relativa al servizio “Tupassi”, nei confronti della società fornitrice del sistema, ha chiarito il ruolo soggettivo ai sensi del GDPR negli ambiti delle attività di trattamento svolte nei confronti degli utenti e degli operatori. Tale applicazione conferma quanto già indicato dalle Guidelines 07/2020 dell’EDPB, per cui si è titolari o responsabili del trattamento in base all’attività e ai poteri concretamente esercitati nel contesto delle attività di trattamento di dati personali svolte.
Ovviamente, per quanto riguarda le attività concernenti i servizi di manutenzione e di assistenza tecnica, l’accesso al gestionale del cliente fa assumere il ruolo di responsabile del trattamento e per l’effetto richiede un accordo conforme ai requisiti di cui all’art. 28 GDPR. L’unica eccezione, per cui è escluso tale ruolo soggettivo, sussiste qualora vi sia un mero supporto tecnico, senza accesso diretto ai sistemi e ai dati personali contenuti nel gestionale. In questo ambito la liceità del trattamento deriva dall’istruzione documentata fornita dal titolare (ovverosia dal soggetto che impiega il software gestionale), ma vi è un vincolo di conformità tanto a queste indicazioni che ai contenuti dell’accordo di designazione del responsabile del trattamento. In questo ambito, è anche bene ricordare inoltre l’applicazione delle prescrizioni specifiche per gli amministratori di sistema, qualora ne ricorrano i presupposti.
In presenza di un’attività di gestione delle credenziali per l’accesso al sistema gestionale, il discorso deve essere affrontato sempre con riferimento al contesto operativo e dunque, deve sussistere una titolarità del trattamento in capo al fornitore del software se questi tratta i dati degli utenti per la creazione dell’account per la fruizione dei servizi comunque offerti. Ciò significa dunque che andrà ricercata una condizione di liceità per l’attività di trattamento dei dati personali così svolta, ricordando che, se tali dati possono anche indirettamente riferirsi ad informazioni di cui alle categorie di dati particolari, occorrerà riscontrare la sussistenza di una base giuridica ai sensi dell’art. 9 GDPR, non potendo essere sufficiente alcuna delle basi di cui all’art. 6 GDPR.
Per quale motivo tale precisazione è così rilevante?
Certamente, per la corretta assegnazione di obblighi e responsabilità circa le attività svolte sui dati personali, ma non soltanto. L’argomento principe, soprattutto negli attuali trend di digitalizzazione, è (e dovrebbe sempre essere) l’adozione di un corretto approccio alla progettazione delle attività che coinvolgono i dati personali.
Ogni offerta di servizi che coinvolgono dati personali deve garantire, in modo adeguato al rischio, l’intera “filiera del dato”, tanto nella responsabilizzazione quanto nella sicurezza, in un modo concreto ed effettivo perché siano garantiti tutti i presidi a tutela degli interessati.
