Privacy: la suddivisione delle responsabilità
Spesso il rapporto fra titolare, contitolare e responsabile del trattamento di dati personali non è governato da uno specifico contratto; questa situazione lascia spazio per dubbi afferenti alla suddivisione di responsabilità, in caso di violazione afferente al trattamento di dati personali. Una recente sentenza della corte di giustizia europea da un contributo importante al chiarimento di questa situazione.
Ecco i fatti.
Nel contesto della pandemia causata dal COVID 19, il Ministro per la salute della Repubblica della Lituania, il 24 marzo 2020, dette istruzioni alle strutture sanitarie di sviluppare un applicativo, in grado di registrare tenere sotto controllo i dati delle persone esposte al virus.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Poco dopo, una azienda privata, che aveva sviluppato un applicativo, in grado di soddisfare le richieste del ministero della salute, lo presentò al ministero, che lo approvò. L’applicativo poteva essere scaricato da Google Play Store e divenne operativo il 26 maggio 2020.
Purtroppo, il contratto, che avrebbe dovuto formalizzare il rapporto tra il ministero della salute e l’azienda sviluppatrice della applicazione non venne formalizzato, per insufficienza di fondi.
Per questo motivo, l’autorità garante lituana impose una sanzione amministrativa sia alla struttura sanitaria coinvolta, sia all’azienda che aveva sviluppato l’applicazione, perché avevano acquisito dati personali senza aver rispettato alcune regole fondamentali del regolamento generale europeo.
A fronte di un reclamo, da parte delle aziende sanzionate, l’intero procedimento venne trasferito alla corte di giustizia europea, per avere un parere afferente all’esatto significato dell’espressione “titolare del trattamento dei dati personali”.
Inoltre, era stato posto un quesito afferente a come potesse essere distribuita la responsabilità, in caso di violazioni, a fronte di titolarità congiunta fra due soggetti, in assenza di un contratto formalizzato.
La corte ha stabilito che può essere definito come titolare del trattamento qualunque soggetto che, in qualsiasi modo, possa influenzare il trattamento di dati personali., Sia in modo diretto, sia in modo indiretto. Al proposito, è bene sottolineare come l’azienda, che aveva sviluppato l’applicativo, aveva operato in forma affatto autonoma ed aveva presentato un “pacchetto” completo alla struttura sanitaria. Tale struttura comunque era stata coinvolta nello sviluppo dell’applicazione, per verificare la corretta carica gestione dei dati dei soggetti contagiati.
Ciò non toglie che la struttura sanitaria non avesse eccepito nulla al fatto che, nella privacy policy dell’applicativo, essa venisse individuata come titolare del trattamento.
In conclusione, la corte ha deciso che quando due entità vengono classificate come contitolari del trattamento non è necessario che esista un contratto formalizzato, ma è sufficiente esaminare le attività svolte dalle due parti per giungere alla conclusione appropriata. Per ulteriori approfondimenti, si raccomanda caldamente al lettore di leggere il testo allegato.
In conclusione, è bene che tutti coloro, che sono coinvolti nel trattamento di dati personali, insieme ad altre entità, prestino particolare attenzione alla formalizzazione del rapporto ed alla chiara distribuzione di responsabilità, in caso di violazioni afferenti al trattamento di dati personali.
Vedi allegato (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.