Nel novembre 2025, l’Autorità Garante per la Privacy ha affrontato nuovamente, attraverso un Provvedimento, il tema del rapporto tra il titolare del trattamento e coloro che, per suo conto, trattano dati personali. Questa tematica è stata oggetto di approfondimenti riguardanti il legame esistente tra il Titolare e il soggetto terzo, il Responsabile del trattamento, e, in alcuni casi, anche il cosiddetto Sub-responsabile del trattamento.
Responsabile del trattamento: requisiti e contratto ex art. 28
Il Responsabile del trattamento è definito come una persona fisica o giuridica che fornisce garanzie sufficienti per implementare misure tecniche e organizzative adeguate, in modo che il trattamento dei dati rispetti i requisiti della normativa vigente in materia di protezione dei dati personali. Questo soggetto opera su scelta e per conto del titolare, tramite un contratto o un altro atto giuridico che, secondo l’articolo 28 del Regolamento UE 2016/679 (GDPR), definisce le modalità di trattamento, la durata, la natura e le finalità, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare, anche attraverso istruzioni documentate.
Il provvedimento 704/2025 e le persone autorizzate al trattamento
Il Provvedimento n. 704 del 27 novembre 2025 si concentra sul legame tra Titolare e Autorizzato al trattamento (di seguito Autorizzato). In precedenza, in base alla Legge 675 del 31 dicembre 1996 e alla versione originaria del D.Lgs. 30 giugno 2003, n. 196 (Codice), questo ruolo era noto come “incaricato del trattamento”.
Il citato Provvedimento è stato adottato a seguito di un’istruttoria, avviata a seguito di un reclamo riguardante i dati personali trattati per un progetto di ricerca che ha coinvolto le Università di Torino, Cagliari e Sassari.
Il caso concreto: questionario, link e dati raccolti
Il progetto si riferiva ai residenti di una specifica Comunità abitativa, ai quali era stata inviata una lettera per compilare un questionario sulla vita nella lottizzazione, accedendo a un link con il loro indirizzo di posta elettronica.
La partecipazione richiedeva di compilare un modulo Google contenente 74 domande, alcune delle quali finalizzate alla valutazione dei servizi, e altre per raccogliere dati come l’anagrafica completa dell’interessato, informazioni relative alla donazione di sangue, fascia di reddito e voto espresso alle elezioni.
Le verifiche hanno rivelato che l’Ateneo di Torino gestiva in modo autonomo il trattamento dei dati, mentre gli Atenei di Sassari e Cagliari non potevano essere considerati né Titolari né Contitolari o Responsabili, poiché il progetto di ricerca era diverso da quelli precedentemente svolti, coinvolgendo la raccolta di dati anonimi tramite una piattaforma specifica.
Criticità rilevate: base giuridica, informativa e strumenti usati
A seguito della richiesta di informazioni del Garante, è emerso che il trattamento dei dati personali, comprese le categorie particolari, presentava criticità. I dati raccolti sono stati immediatamente cancellati dall’Università.
Le tre contestazioni principali dell’Autorità
In particolare, le contestazioni riguardavano:
- a) l’assenza di una base giuridica idonea ai sensi degli articoli 6 e 9 del Regolamento per la finalità di ricerca scientifica;
- b) l’assenza di un’informativa preventiva ex art. 13 del Regolamento;
- c) le modalità di somministrazione del questionario, effettuate tramite un Google Form creato sull’account personale della borsista.
Assegnazione operativa e persone autorizzate al trattamento: chi risponde
Le indagini condotte hanno rivelato che il progetto è stato assegnato a un ricercatore e, a sua volta, a una borsista dell’Università, che agiscono come persone autorizzate al trattamento, secondo gli artt. 29 del Regolamento e 2-quaterdecies del Codice.
Il trattamento dei dati personali, comprese particolari categorie di dati, è avvenuto sotto la titolarità dell’Ateneo, indipendentemente dal fatto che la raccolta fosse stata effettuata dalla borsista tramite account personale.
Le difese dell’Ateneo e il nodo delle persone autorizzate al trattamento
L’Ateneo ha affermato che la borsista ha agito in autonomia, in violazione delle regole interne, in quanto era stata adeguatamente formata e aveva ricevuto istruzioni dirette per l’utilizzo della piattaforma dell’Università. Ha inoltre modificato il questionario per includere il nome del rispondente, utilizzando un Google Form personale, senza notificarlo al docente.
Liceità e trasparenza: perché il trattamento è stato ritenuto illecito
Dalle dichiarazioni dell’Ateneo, emerge che “il Professore che aveva delegato le attività al Progetto non ha ritenuto necessario ulteriori approfondimenti” riguardo alla protezione dei dati personali. L’Autorità Garante ha stabilito che il Titolare deve rispondere di un trattamento non conforme ai principi di liceità, correttezza e trasparenza, svolto in assenza di un idoneo presupposto normativo e senza fornire informazioni preventive agli interessati.
Dati particolari e consenso nella ricerca scientifica
Secondo l’art. 9 del Regolamento, il trattamento di dati particolari, incluse le opinioni politiche, è vietato a meno che non sussista il consenso dell’interessato. Il consenso deve essere libero ed esplicito, considerando la natura sensibile di tali dati.
Ricerca scientifica: basi di liceità e regole deontologiche
I trattamenti per ricerche scientifiche devono fondarsi su specifiche condizioni di liceità, come previsto dagli articoli 6, 9 e 89 del Regolamento, oltre al Codice (articoli 104 e seguenti). La condizione comune di liceità è spesso il consenso dell’interessato (art. 7 del Regolamento).
Accountability e persone autorizzate al trattamento: la parte “chiave” del provvedimento
Un aspetto cruciale del Provvedimento concerne le contestazioni al Titolare riguardanti il rispetto del principio di accountability (art. 5, par. 2) e gli articoli del Regolamento relativi alla responsabilità del Titolare nei confronti dei dati degli interessati.
Privacy by design e misure organizzative: cosa deve fare il titolare
Il titolare è obbligato ad adottare misure tecniche e organizzative adeguate, ponendo particolare attenzione alla protezione dei dati sin dalla progettazione dei sistemi utilizzati per il trattamento.
Definizioni e ruolo interno: le persone autorizzate al trattamento
Il Regolamento richiede che vi sia una chiara assegnazione delle responsabilità all’interno dell’organizzazione, riguardo al trattamento dei dati personali. Le Persone autorizzate al trattamento agiscono sotto l’autorità del Titolare, e la loro corretta formazione è essenziale per la conformità alla legge.
Art. 2-quaterdecies e persone autorizzate al trattamento: designazione e compiti
Il Titolare può designare specifiche funzioni e compiti a persone fisiche che operano sotto la sua responsabilità. È fondamentale che tali designazioni siano accompagnate da istruzioni chiare e documentate.
Perché le persone autorizzate al trattamento non “assolvono” il titolare
Le difese avanzate dall’Ateneo non hanno mitigato la responsabilità, dal momento che non è stata dimostrata alcuna corretta designazione né l’adeguata vigilanza sul trattamento dei dati da parte dei soggetti autorizzati.
Sicurezza e strumenti: perché l’account personale è un problema
La normativa impone l’uso di strumenti sotto il controllo del Titolare per garantire la sicurezza del trattamento. L’uso di account personali per la gestione dei dati ha violato i principi di sicurezza e responsabilità.
Indicatori, prove e controlli: l’efficacia delle misure va dimostrata
Le misure adottate devono includere indicatori volti a dimostrare la loro efficacia nel garantire la conformità. La semplice adozione di misure non basta se non sono documentate e verificate.
Conclusioni operative: gestione delle persone autorizzate al trattamento
In conclusione, l’Autorità ha evidenziato che le responsabilità ricadono su una culpa in vigilando, per aver consentito ai propri incaricati di trattare dati personali senza adeguate designazioni e istruzioni. È essenziale che i Titolari istituiscano procedure chiare e forniscono formazione adeguata per garantire il rispetto della normativa sulla protezione dei dati.
