Contitolari, Responsabili, la responsabilità solidale, il danno risarcibile e l’azione di regresso

di | 2 April 2017

Contitolari del trattamento
La figura del contitolare del trattamento è prevista all’art. 26 ‘Contitolari del trattamento’ GDPR, il quale articolo precisa che i contitolari possono anche essere più di due, che devono determinare congiuntamente le finalità e mezzi del trattamento. Si ipotizza quindi la necessità della sussistenza di una codecisione in merito alle finalità (perché) e a i mezzi (come) di un determinato trattamento.
Tramite accordo interno i contitolari hanno l’obbligo di determinare, in modo trasparente, le rispettive responsabilità e compiti sull’osservanza degli obblighi derivanti dal GDPR con particolare riferimento ai diritti dell’interessato e gli obblighi di fornire le informazioni previste al momento della raccolta (Art.13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato; Art.14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato).

Da un punto di vista pratico, per l’individuazione del contitolare del trattamento non vi sono differenze con le modalità di identificazione del titolare del trattamento come definito all’Art.4.7 ‘Definizioni’ – “«Titolare del trattamento»: la persona fisica o giuridica, … che, singolarmente o insieme ad altri, determina …“. L’ “insieme ad altri” si riferisce appunto alla figura del contitolare come prevista all’ art. 26 dove si legge “… due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi …” Cioè è titolare del trattamento chi effettua scelte e prende decisioni inerenti le finalità dei trattamenti; impartisce decisioni, direttive vincolanti ed esercita funzioni di controllo; quindi è da considerare “titolare del trattamento” chi esercita l’effettivo potere decisorio. Questo rappresenta il principio di disambiguazione da applicare nei casi controversi. (Garante privacy [doc. web n. 1617709] Servizi postali: Poste Italiane resta titolare del trattamento anche in caso di appalto – 29 aprile 2009 ).  http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1617709).

Persone giuridiche contitolari del trattamento
Il titolare singolo o contitolare, qualora non fosse una persona fisica ma ad esempio un persona giuridica, va intesa come indicato all’art.28 cod. priv. ‘Titolare del trattamento’ – “… titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza“. Infatti le persone fisiche legittimate a rappresentare all’esterno la volontà di una persona giuridica (es. A.D. o Presidente) hanno sotto il profilo giuridico responsabilità diverse da quelle della persona giuridica che rappresentano. Pertanto ai fini della titolarità del trattamento, acquista autonomo rilievo la persona giuridica e non il legale rappresentante della stessa che solo temporaneamente la rappresenta. (Suprema Corte di Cassazione VI Sezione Civile 2 – Ordinanza 18 marzo – 8 aprile 2014, n. 8184 )

Accordo interno fra i contitolari del trattamento
Fermo restando che l’art.26 evidenzia il concetto che il trasparente accordo interno fra i contitolari del trattamento è prevalentemente volto a garantire all’interessato di poter esercitare i propri diritti e definire chi dei contitolari dovrà provvedere a fornire, al momento della raccolta, le informazioni previste per l’ottenimento dei dati personali (Artt. 13, 14), indipendentemente dal contenuto dell’accordo interno, l’interessato può esercitare i propri diritti nei confronti e contro ciascun titolare del trattamento (art.26.3).

Il contenuto essenziale dell’accordo interno tra i Titolari di uno stesso trattamento deve essere messo a disposizione dell’interessato(art. 26.2), ma non è richiesto che l’accordo stesso sia fornito o reso accessibile agli interessati; queste informazioni dovranno comunque essere fornite già con le informazioni previste dagli artt. 13 e 14.

Responsabile del trattamento e vincolo contrattuale
L’art.28 definisce e attribuisce al responsabile del trattamento ( Art.4.8 ‘Definizioni’ – “«responsabile del trattamento»: la persona fisica o giuridica, … che tratta dati personali per conto del titolare del trattamento“) obblighi e responsabilità. Il Responsabile del trattamento è vincolato da contratto al Titolare del Trattamento (art28.3). In caso di Contitolari, ciascun Responsabile del trattamento sarà quindi vincolato al proprio Titolare del trattamento da relativo contratto. Il contratto, oltre a istituire il vincolo tra Titolare e Responsabile, individua e disciplina i trattamenti che saranno effettuati dal Responsabile del trattamento; indicandone durata, natura, finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti del Titolare del trattamento.
Qualora il responsabile del trattamento agisca determinando le finalità e i mezzi del trattamento, viene considerato a tutti gli effetti un titolare del trattamento (Art.28.10).

 

Una veloce considerazione sul danno risarcibile, sulle responsabilità solidali, la rivalsa e il diritto al risarcimento.
Anche se gli argomenti richiederebbero una più ampia trattazione riferita all’insieme delle disposizioni previste da Art. 24 ‘Responsabilità del titolare del trattamento’, Art. 26 ‘Contitolari del trattamento’, Art. 28 ‘Responsabile del trattamento’, Art. 82 ‘Diritto al risarcimento e responsabilità’, Considerandi 75, 146.
Il danno risarcibile (qualora ne sussistano i presupposti) è sia il danno materiale che immateriale (art. 82.1), anche se potrebbe apparire più appropriata l’interpretazione estensiva al danno patrimoniale e non patrimoniale (c146).
E’ risarcibile qualsiasi danno causato da una violazione del regolamento (Art. 82.1).
Sono responsabili in solido per il risarcimento del danno titolare/contitolari e responsabili Art. 26.3, Art.28, Art 82.4.
Il titolare del trattamento è responsabile e risponde per il danno cagionato dal suo trattamento (Art. 82.2).
Il responsabile del trattamento risponde per il danno causato solo se non ha adempiuto gli obblighi in capo ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento(Art. 82.2).
Onere della prova: il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile; argomento questo che richiederebbe approfondita trattazione.
Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento (Art. 82.5, C.146).

Categoria: Ruoli e Responsabilità Tag: , , ,

Informazioni su Stefano Tresoldi

Degree in Administrative Science at UNITO Law Department, with more than 20 years as consultant in IT field. Since 2011 to 2015 consultant for regulatory-driven transformation projects related to "Online Civil Trial" (PCT), included privacy and security compliance. 2014-2015 Consultant for an innovative digital project on the new juridical regulation for "Messa alla prova" (L. 67 del 28.04.14) and for "Volonatria Giurisdizione". Stefano founded in 1995 the company STL an IT computer science consulting company. As owner, the prime occupation was company management and new business discovering, public relations, and partnership building; but in more than 20 years at STL he worked and acquired many interdisciplinary skills in many matters: stakeholder management and stakeholder engagement, leadership, strategic thinking, problem solving, decision making, public speech and presentations. Since 2002 he work as consultant.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.