La contitolarità o co-titolarità

07 aprile 2021Ultimo aggiornamento 11 giugno 2021
Tempo di lettura stimato: 9'
Contitolarità o co-titolarità: un argomento molto delicato e di cui ultimamente mi sembra si stia abusando un po’ troppo. Quando si può ricorrere alla contitolarità e quando, invece, scegliere di essere co-titolari del trattamento è una forzatura? 

Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, insieme al Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC, Avvocato Luca Bolognini e al Direttore Scientifico dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati (IIP), Avvocato Diego Fulco


Qui trovi solo un estratto, l’intervista LIVE completa è sulla Raise!


Uso ed abuso della contitolarità

Andrea Chiozzi: Quando ritenete che sia corretto usare la contitolarità e quando invece è meglio avere un rapporto diverso: titolare-responsabile esterno o titolari autonomi? 

Avvocato Bolognini: Quando una contitolarità è difendibile e riscontrabile e quando invece viene usata in modo errato? Bisogna seguire la lettera dell'articolo 26 del GDPR, per cui c'è contitolarità quando ci sono 2 o più titolari che decidono insieme le finalità e i mezzi del trattamento. Quindi dobbiamo andare a guardare il dato di fatto. Se il dato di fatto non corrisponde a quello che è il dettato dell'articolo 26, saremo in presenza di una contitolarità fittizia. Facciamo degli esempi. Un esempio di contitolarità che non regge, che non può funzionare, è quella che vede interagire due o più titolari del trattamento, ognuno dei quali continua a decidere per sé una parte delle finalità. Se in un accordo di contitolarità, in realtà, le finalità si disgiungono, non siamo in presenza di una vera co-titolarità. Stessa cosa vale per i mezzi e le modalità, non nel senso che i vari contitolari non possano suddividersi le responsabilità con riferimento a determinati mezzi, ma nel senso che uno solo abbia - da solo - la voce in capitolo su come trattare i dati. In questo caso sarebbe una co-titolarità fittizia. 


Avvocato Fulco: La contitolarità spesso l'ho trovata come strumento che poteva risolvere un problema, purché usato in modo appropriato, non uno strumento per forzare o per aderire a delle circostanze. Contitolarità è uguale a partnership, a parità. Titolare autonomo è uguale a ognuno fa per sé. Titolare e responsabile è uguale a committente, appaltatore di servizi o qualcuno che dà le carte ed un altro che esegue per conto di... La co-titolarità è stata a lungo un oggetto misterioso e non è stata usata in casi in cui si doveva usare. Ora la tendenza è di usarla quando non ci sarebbero, invece, le premesse. Tra le forme che mi lasciano più perplesso ce ne sono alcune recenti del Comitato europeo dei Garanti, che ha licenziato in bozza due linee guida - di cui una sul targeting nei social - in cui delinea d'ufficio una contitolarità fra soggetti di grandezze completamente diverse e in cui la divisone delle finalità è diversa. 

Nell’uso dei social media, non ci sono due soggetti che condividono le stesse finalità, ma c'è un social media, che vende pubblicità, ed advertiser che vuole veicolare la sua pubblicità tramite il social media. E nel disegno europeo questi due soggetti sono contitolari. Mi è sembrato un uso un po' politico di questo istituto, per responsabilizzare tutte le parti in gioco: da un lato, costringere i social media a farsi carico del fatto che queste operazioni comportano trattamenti di un certo tipo e quindi non possono dare le carte da soli; dall’altro, per responsabilizzare gli advertiser, perché non possono dire che non sanno nulla del trattamento dei dati e che si limitano a creare contenuti. 

Fra questi opposti ci sono delle buone pratiche, che passano dalla costruzione di contratti lungimiranti, in cui le due parti si dividono dei compiti e attraverso una buona architettura contrattuale fanno compliance. Si attrezzano, vincolandosi a vicenda, a remare nella stessa direzione.


Contratti di co-titolarità: cosa devono prevedere

Andrea Chiozzi: Parlando di contratti. Non basta definirci contitolari e poi siamo tutti amici. L'articolo 26 è preciso, poi però va esteso dal punto di vista non solo sostanziale, ma anche formale. Ho visto situazioni in cui c'è l'informativa di contitolarità corretta, ma poi manca qualsiasi definizione dei comportamenti: chi fa cosa, perché, per come. Quanto è importante l'aspetto contrattuale quando si parla di contitolarità?

Avvocato Bolognini: Nell'articolo 26 in lingua inglese non si usano né il termine contract, né il termine agreement, ma si usa arrangement, che è più elastico e c'entra anche con una dimensione di flessibilità, di controllo reciproco e di fiducia reciproca, che è più appropriato del contratto e dell'agreement in senso stretto.
 
Ogni tanto io parlo di contitolarità capricciose: siamo in due, siamo in tre, siamo in quattro, allora definiamoci contitolari. Una scenetta simpatica che uso per spiegare in modo elementare che cos'è la contitolarità capricciosa è questa: immaginate di andare dal nuovo commercialista per perché vi aiuti a fare la dichiarazione dei redditi. Arrivate in studio e lui vi porta nella saletta riunioni, dove non vi trovate davanti soltanto il commercialista, ma anche il notaio, l'avvocato, il consulente del lavoro: 6 o 7 professionisti dall’altra parte del tavolo, che vi danno il benvenuto e vi dicono “Bene, eccoci qua. Da questo momento, saremo i contitolari del trattamento dei vostri dati.“

Vi sentireste vittime di un sopruso e in effetti un po' lo sareste, perché siete lì per farvi seguire dal commercialista per una questione di competenza che è solo del commercialista e vi trovate di fronte ad un plotone di contitolari che da quel momento in poi si arrogano il diritto ed il potere di trattare insieme i vostri dati. Vi sentireste a disagio.

Questo è un esempio di capriccio all’ennesima potenza, ma attenzione a non cascare dalla parte opposta. A non finire ad una forma di dirigismo paternalista, per cui facciamo guidare tutto ciò che è iniziativa economica al mondo della privacy e consideriamo capricciosa qualsiasi libera iniziativa congiunta, che venga decisa imprenditorialmente da più soggetti. L’esempio dei social network è una forzatura, per imbrigliare dal punto di vista politico i giganti dei social.

All’interno del contratto devono esserci tutti gli ingredienti che l’articolo 26 ci richiede ma, prima di tutto, dobbiamo tollerare che ci sia una strategia di alleanza, di partnership, che rientra nella libera iniziativa delle parti che si mettono insieme e che, solo se si rivela platealmente infondata e inutile, può essere messa in discussione. E l’accordo di contitolarità è figlio dell’alleanza vera, non fittizia. Dobbiamo tollerarlo e non metterlo in discussione come se tutto fosse privacy e non ci fosse vita là fuori. 

Avvocato Fulco: Un contratto in genere ha alcune sezioni vitali e fondamentali per farlo funzionare e per capirne la funzione: le premesse, il “cosa succede” se una delle due parti viola gli accordi e spesso gli allegati. Un buon contratto di contitolarità deve contenere questi aspetti. L’articolo 26 dà una sorta di requisito minimo, cita alcuni argomenti che devono essere affrontati e che riguardano il chi fa che cosa, ma la strategia deve poter emergere dalle premesse, che devono dare il senso e la misura del perché queste due parti decidono di condurre e governare insieme un trattamento. Così come, nell’accordo di contitolarità, devono esserci tutti i temi che fanno parte dell’impalcatura del GDPR: chi risponde agli interessati, chi si interfaccia con l’autorità, la data retention, la gestione dei data breach e così via. Un buon contratto di co-titolarità è strutturato e copre gli scenari che possono verificarsi. Non si limita a disciplinare quello che dice l’articolo 26. Può prevedere anche momenti di confronto periodico e deve avere un perimetro: cosa succede se una delle parti viola il contratto.


Esempi di contitolarità autentiche e fittizie

Andrea Chiozzi: Ultimamente ho trovato un uso capzioso della contitolarità. Per esempio, la capogruppo eroga servizi di amministrazione o risorse umane alle consociate e i dipendenti ricevono l’informativa con l’indicazione di contitolarità della capogruppo, quando la capogruppo è responsabile esterno. 

Avvocato Bolognini: Quando nei rapporti infragruppo c’è una società, di solito la capogruppo, che fornisce servizi ad altre società del gruppo, una strada lineare è la designazione della società come responsabile del trattamento per le altre, che sono committenti, pur essendo infragruppo. E questo accade molto spesso. In linea di principio non vedo sbagliate altre strade, purché non siano strumentali e capricciose. Per esempio, è il caso della capogruppo dominante: una delle società del gruppo decide e le altre si accodano, quindi se c’è una dominanza infragruppo, potrei considerare quella contitolarità finta. Perché le altre fanno finta di codecidere


Avvocato Fulco: Ci sono situazioni in cui enti che hanno un’attività complementare fra loro o che sono nati per collaborare possono strutturarsi con la contitolarità. Per esempio, è il caso delle fondazioni per la ricerca e le strutture sanitarie, quando la fondazione è una costola della struttura sanitaria. Fanno parte della stessa famiglia e lavorano insieme. Un altro esempio di co-titolarità in cui ho dato il mio parere è il caso di più società che hanno sede nello stesso complesso e che si avvalgono di un sistema di videosorveglianza comune, che è gestito da una delle società con affidamento ad un fornitore esterno. Qui la contitolarità la vedo, perché è una situazione paritaria, in cui l'interesse è comune. In questo caso ho consigliato che tutti siano contitolari, ma si prevede che la gestione del responsabile esterno sia fatta dalla società del gruppo che si interfaccia col fornitore di servizi.

Invece, una situazione in cui ho caldamente suggerito che ci fosse una società (la holding) come responsabile delle altre è questa: la società stipulava contratti di servizi con fornitori di servizi corporate poi usati da altre società. Ho consigliato che ognuna delle società del gruppo fosse titolare, la società che affidava i servizi all'esterno fosse responsabile per conto delle altre e titolare per sé stessa per i trattamenti propri che dava all'esterno. Ho quindi costruito una nomina a responsabile esterno del fornitore di servizi, in cui il contractor, la società del gruppo che stipulava il contratto di servizi, aveva 2 cappelli: titolare per sé e responsabile per le altre società. Perché aveva le risorse interne per interfacciarsi con il fornitore esterno e le altre società perseguivano i loro fini nel trattamento, ma contribuivano anche a definire i mezzi. 

Dove vedo invece l’abuso? Quando la contitolarità è una sorta di vestitino della comproprietà dei dati o di una presunta comproprietà. Per esempio, quando, nella grande distribuzione, i punti vendita concordano per determinare comportamenti che appartengono alla famiglia del marketing (marketing diretto, profilazione e così via), costruiscono una contitolarità in cui sono tutti proprietari della macchina, ma poi ognuno la usa come vuole e dove vuole. Con l'interessato che si trova dentro a due trattamenti completamente diversi, con impatti diversi.

La chiave di volta è la differenza tra contratto come strumento di governo delle responsabilità e contratto come furbata per trovare il pretesto per delle comproprietà.


L’informativa nella co-titolarità

Andrea Chiozzi: L’informativa, nel caso della co-titolarità, come deve essere strutturata?

Avvocato Bolognini: Terrei l'informativa più aderente possibile ad una sorta di checklist dell'articolo 13 o dell'articolo 14, se c'è la raccolta presso terzi, ma dovendo fare uno sforzo molto maggiore in termini di trasparenza e di lealtà e di chiarezza, e quindi di rispetto dell'articolo 12. 

Avvocato Fulco: Aggiungo che, spesso, prevedo l'informativa come allegato all'accordo di contitolarità, il che significa che le parti concordano da subito cosa diranno agli interessati e si assumono reciprocamente una responsabilità.

Andrea Chiozzi: Sono d'accordo. Non basta l'informativa normale, ma qualche punto va reso chiaro. Ai consulenti PrivacyLab dico "Non siate superficiali, pensateci cum grano salis, l'approccio deve essere veramente la chiarezza." Non nascondiamo le cose sotto al tappeto. 

Articolo tratto dall’intervento degli Avvocati Luca Bolognini e Diego Fulco su RAISE Academy.
Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy