Qualificazione dei ruoli privacy: quanto è importante e quali sono le possibili ripercussioni (English version available)

English version below

***

Lo scorso 17 luglio, l’Autorità Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha reso noto, nella sua newsletter (disponibile qui), di aver emesso un provvedimento sanzionatorio pari a un milione di euro nei confronti di Autostrade per l’Italia S.p.A. (“ASPI”) per avere trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to X (“FtX”), in violazione del Regolamento UE 679/2016 (“GDPR”).

L’attività ispettiva era stata avviata a seguito di un reclamo presentato dall’associazione dei consumatori Assoutenti, ove la stessa aveva sollevato alcuni profili di criticità in merito alle attività di trattamento dei dati personali degli utenti attuate da ASPI e da FtX, per il tramite dell’applicazione denominata “Free To X”, volta a consentire il rimborso, totale o parziale, del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori (c.d. servizio Cashback).

La decisione del Garante

Al termine dell'istruttoria, il Garante ha accertato che l'accordo tra ASPI e FtX identificava erroneamente ASPI come responsabile del trattamento, anziché come titolare del trattamento. Al riguardo, il Garante ha rilevato che l'errata qualificazione dei ruoli svolti dalle due società aveva inciso sull'informativa privacy fornita agli utenti, la quale non è stata quindi correttamente formulata. Inoltre, il Garante ha ritenuto ASPI inadempiente rispetto all'obbligo di designare FtX quale responsabile del trattamento. Pertanto, il Garante ha concluso che ASPI ha trattato illecitamente i dati personali di circa 100.000 interessati, infliggendo alla stessa una multa pari a 1 milione di euro.

Il Garante ha irrogato la suddetta sanzione, non imponendo tuttavia ulteriori misure correttive in quanto ASPI aveva collaborato nel corso del procedimento mediante l’adozione di misure correttive, tra cui l'aggiornamento dell'informativa sulla privacy.

Considerazioni generali

Sulla base di quanto accertato dal Garante, il servizio di Cashback, fornito tramite l’app di FtX, era stato posto in essere da ASPI, in qualità di titolare del trattamento.

Secondo l’Autorità risulta necessario identificare con precisione i soggetti che trattano i dati personali degli interessati e definirne chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile, ai fini della corretta applicazione della normativa in materia di protezione dei dati personali rispetto alle attività di trattamento svolte.

In particolare, si ricorda che, ai sensi dell’art. 4(7) del GDPR, il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento di dati personali. Di contro, il responsabile del trattamento, ai sensi dell’art. 4(8) del GDPR, è il soggetto che agisce per conto del titolare ed è chiamato a seguire le istruzioni impartite da quest’ultimo per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi (cfr. “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, le “Linee Guida”, dell’European Data Protection Authority, “EDPB”).

Ai fini di una corretta qualificazione dei ruoli privacy, occorre effettuare una valutazione delle circostanze concrete del trattamento. La valutazione deve tener conto di tutte le circostanze di fatto pertinenti, al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione.

La necessità di una valutazione fattuale significa anche che la titolarità di un trattamento non deriva dalle caratteristiche soggettive di chi tratta i dati, ma dalle attività concretamente svolte da tale soggetto in un contesto specifico. In altre parole, uno stesso soggetto può agire contemporaneamente in qualità di titolare del trattamento per determinate operazioni di trattamento, e in qualità di responsabile del trattamento per altre operazioni. La qualifica di titolare o di responsabile del trattamento va valutata in relazione a ciascuna specifica attività di trattamento dei dati.

Nel caso di ASPI, l’Autorità ha rilevato che il meccanismo di rimborso mediante l’app di FtX era stato individuato da ASPI, in qualità di concessionario della costruzione e dell’esercizio della rete autostradale, e che la natura delle misure compensative, così come le modalità di adempimento delle stesse, le condizioni e i requisiti della richiesta di rimborso da parte dell’utente, erano state definite autonomamente dalla stessa ASPI.

La società, infatti, aveva ideato il meccanismo, dando a FtX esclusivamente l’incarico di sviluppare uno strumento informatico volto a offrire una soluzione gratuita, smart e user friendly per la gestione dei rimborsi sui ritardi significativi causati dalla presenza di cantieri di lavoro sulle tratte autostradali affidate in concessione ad ASPI, fornendo alla stessa anche criteri già puntualmente stabili.

Alla luce di quanto sopra, il Garante ha evidenziato come emerga chiaramente che, con riferimento al trattamento inerente al servizio Cashback, le finalità e i relativi mezzi sono stati determinati da ASPI e, pertanto, che la stessa rivestiva (e riveste) il ruolo di titolare. Dall’altro lato, FtX agirebbe in qualità di responsabile del relativo trattamento.

A cascata, l’errata qualificazione dei ruoli privacy ha avuto ripercussioni su tutti gli adempimenti richiesti dalla normativa in materia di protezione dei dati personali.

In particolare, il Garante ha evidenziato come l’informativa fornita agli utenti non sia stata correttamente formulata in quanto, con riferimento al servizio Cashback, riportava erroneamente quale titolare del trattamento FtX e non ASPI, effettiva titolare del trattamento, e mancava di tutte le ulteriori informazioni volte ad assicurare un trattamento corretto e trasparente nei confronti degli utenti. In tal modo, ASPI ha violato i principi di correttezza e trasparenza di cui all’art. 5(1)(a) del GDPR, nonché l’art. 13 del GDPR, con riferimento alle informazioni da fornire agli interessati.

Inoltre, l’errata qualificazione dei ruoli privacy ha, altresì, condotto ASPI ad una ulteriore violazione, in quanto la stessa, effettiva titolare del trattamento, non aveva designato FtX quale responsabile del trattamento, ai sensi dell’art. 28 del GDPR. Sul punto, infatti, il Garante ha evidenziato come ASPI, con riferimento al servizio Cashback, avrebbe dovuto vincolare FtX, in qualità di responsabile, ad ASPI stessa, in qualità di titolare e non viceversa.

Conclusioni

Il provvedimento del Garante porta ad alcune considerazioni sugli adempimenti che le società dovrebbero tenere in considerazione al fine di essere conforme alla normativa in materia di protezione dei dati personali.

Secondo le Linee Guida dell’EDPB, le due condizioni fondamentali per la qualifica di responsabile del trattamento sono:

• l'essere un soggetto distinto rispetto al titolare del trattamento;
• il trattare i dati personali per conto del titolare del trattamento.

L’EDPB rammenta altresì che non tutti i fornitori di servizi che trattano dati personali nel corso della prestazione sono responsabili del trattamento, poiché il ruolo di responsabile del trattamento non scaturisce dalle caratteristiche del soggetto che tratta dati, ma dalle sue attività concrete in un contesto specifico. In altre parole, uno stesso soggetto potrebbe agire contemporaneamente come titolare del trattamento per determinate operazioni di trattamento e come responsabile del trattamento per altre – come avviene nel caso di ASPI e FtX.

Pertanto, ai fini di una corretta qualificazione dei ruoli privacy, nonché dei correlati adempimenti, i titolari del trattamento dovranno, a titolo esemplificativo e non esaustivo:

• effettuare una valutazione in relazione a un insieme specifico di dati o di operazioni e la natura del servizio al fine di determinare se l’attività di trattamento abbia per oggetto il trattamento di dati personali per conto del titolare;
• avvalersi di responsabili del trattamento che presentino garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate (ad esempio, sussistenza di conoscenze specialistiche, competenze tecniche in materia di misure di sicurezza e di violazione dei dati, verifica del loro grado di affidabilità e delle risorse di cui dispongono, nonché della loro adesione a un codice di condotta o a un meccanismo di certificazione riconosciuti);
• disciplinare il rapporto tra titolare e responsabile del trattamento mediante la stipula di un contratto o di un atto giuridico di altra natura, redatto per iscritto, anche in formato elettronico, con carattere di vincolatività. Il titolare e il responsabile del trattamento possono negoziare un contratto specifico, comprensivo di tutti gli elementi obbligatori, oppure basarsi, in tutto o in parte, su clausole contrattuali tipo. Il GDPR elenca gli elementi che devono figurare nell’accordo di trattamento, il quale tuttavia non dovrebbe limitarsi a ribadire le disposizioni del GDPR, ma dovrebbe disciplinare in modo più specifico e concreto come saranno soddisfatti i requisiti applicabili e quale sia il livello di sicurezza richiesto per il trattamento dei dati personali oggetto dell’accordo stesso;
• fornire agli interessati informative che contengano tutte le informazioni previste dall’art. 13 del GDPR.

***

[English version]

Qualification of privacy roles: how important is it and what are the possible impacts?

On July 17^th, the Italian Data Protection Authority (the “Authority”) announced, in its newsletter (available here, only in Italian), that it issued a fine (available here, only in Italian) of one million euros against Autostrade per l'Italia S.p.A. (“ASPI”) for unlawfully processing the data of approximately 100,000 registered users of the toll refund app called “Free to X” (“FtX”), in violation of the EU Regulation 679/2016 (“GDPR”).

The inspection activity was initiated following a complaint filed by the consumer association Assoutenti, where they raised several critical points regarding the processing of personal data of users carried out by ASPI and FtX through the application named “Free To X”, which aimed to enable the full or partial refund of toll fees for delays caused by construction works (the Cashback service).

The Authority's Decision

At the end of the investigation, the Authority determined that the agreement between ASPI and FtX incorrectly identified ASPI as the data processor instead of the data controller. In this regard, the Authority noted that the misclassification of the roles played by the two companies had affected the privacy notice provided to users, which, therefore, was not formulated in a correct way. Additionally, the Authority found ASPI to be non-compliant with the obligation to designate FtX as the data processor. Consequently, the Authority concluded that ASPI had unlawfully processed the personal data of approximately 100,000 data subjects, resulting in a fine of one million euros.

The Authority imposed the aforementioned fine but did not impose further corrective measures as ASPI had cooperated during the procedure by taking corrective actions, including updating the privacy notice of the app.

General remarks

Based on the findings of the Authority, the Cashback service provided through the FtX app was implemented by ASPI as the data controller. According to the Authority, it is necessary to accurately identify the entities that process personal data of data subjects and clearly define their respective roles, particularly that of the data controller and data processor, for the proper application of the regulations concerning the protection of personal data in relation to the processing activities carried out.

Specifically, it is worth noting that, according to Article 4(7) of the GDPR, the data controller is the entity that determines the purposes and means of processing personal data. On the other hand, the data processor, as defined in Article 4(8) of the GDPR, is the entity that acts on behalf of the data controller and is required to follow the instructions provided by the data controller regarding the purposes and essential elements of the processing (see the Guidelines 07/2020 on the concepts of controller and processor in the GDPR, issued by the European Data Protection Board, “EDPB”).

In order to a correct qualification of privacy roles, it is necessary to conduct an assessment of the specific circumstances of the data processing. The assessment must consider all relevant factual circumstances to determine whether a particular entity exercises a determinative influence with respect to the processing of the personal data in question.

The need for factual assessment also means that the role of a controller does not stem from the nature of an entity that is processing data but from its concrete activities in a specific context. In other words, the same entity may act at the same time as data controller for certain processing operations and as data processor for others. The qualification as data controller or data processor has to be assessed in relation to each specific data processing activity.

In the case of ASPI, the Authority observed that the refund mechanism through the FtX app was devised by ASPI, in its capacity as the concessionaire responsible for the construction and operation of the highway network. ASPI independently defined the nature of compensatory measures, as well as the methods for fulfilling them, the conditions, and the requirements for user refund requests. The company devised the mechanism and solely tasked FtX with developing an IT tool to offer a free, smart, and user-friendly solution for managing refunds on significant delays caused by construction work on the highway routes entrusted to ASPI, while providing precise criteria to be followed.

In light of the above, the Authority highlighted that it clearly emerges that, concerning the Cashback service's processing, the purposes and related means were determined by ASPI, and therefore, ASPI assumed (and continues to hold) the role of data controller. On the other hand, FtX would act as the data processor for the relevant processing activities.

Consequently, the incorrect qualification of privacy roles had impacts on all the obligations required by the regulations concerning the protection of personal data. Specifically, the Authority highlighted that the privacy notice provided to users was not properly formulated since, concerning the Cashback service, it incorrectly identified FtX as the data controller instead of ASPI, the actual data controller. Moreover, the privacy notice lacked all the additional information necessary to ensure a correct and transparent data processing for the users. Consequently, ASPI violated the principles of fairness and transparency under Article 5(1)(a) of the GDPR, as well as Article 13 of the GDPR concerning the information to be provided to data subjects.

Furthermore, the incorrect qualification of privacy roles led ASPI to commit another violation since, as the actual data controller, it had not designated FtX as the data processor, as required by Article 28 of the GDPR. The Authority emphasized that ASPI, concerning the Cashback service, should have bound FtX, as the data processor, to ASPI itself, as the data controller, and not the other way around.

Conclusions

The Authority’s decision leads to some considerations about the obligations that companies should consider in order to comply with the regulations concerning the protection of personal data. According to the EDPB Guidelines, the two fundamental conditions for the data processor qualification are:

• being a separate entity in relation to the data controller;
• processing personal data on behalf of the data controller.

The EDPB also reminds that not all service providers processing personal data during their provision are data processors, as the data processor role is not determined by the characteristics of the entity processing data but by its concrete activities in a specific context. In other words, the same entity may act as a data controller for certain processing operations and as a data processor for others – as is the case with ASPI and FtX.

Therefore, in order to a correct qualification of privacy roles and related obligations, data controllers should, for example:

• assess, concerning a specific set of data or operations and the nature of the service, whether the processing activity involves processing personal data on behalf of the data controller;
• only use data processors who provide sufficient guarantees to implement appropriate technical and organizational measures (e.g., expert knowledge, technical expertise with regard to security measures and data breaches, verification of their reliability and available resources, adherence to an approved code of conduct or certification mechanisms);
• regulate the relationship between data controller and data processor through the execution of a contract or other legal act, drafted in writing, including the electronic form, and having a binding effect. The data controller and data processor may choose to negotiate their own contract including all the compulsory elements or to rely, in whole or in part, on standard contractual clauses. The GDPR lists the elements that have to be set out in the processing agreement, which, however, should not merely restate the provisions of the GDPR but rather it should include more specific, concrete information as to how the requirements will be met and which level of security is required for the personal data processing that is the object of the processing agreement;
• provide to data subjects a privacy notice containing all the information required by Article 13 of the GDPR.