GreenSquare Italia

Accordi di contitolarità – Il trattamento dei dati personali nelle CER

L’art. 26, punto 1, del Regolamento UE n. 679 del 2016 prevede che qualora due o più titolari del trattamento stabiliscono congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

I contitolari determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.

  1. 1. CONTENUTO DELL’ACCORDO DI CONTITOLARITÀ

Ai sensi dell’art. 26 del Regolamento Generale sulla Protezione dei Dati Personali, (di seguito “GDPR”), i contitolari del trattamento dei dati personali devono redigere un accordo interno (il cd. “accordo di contitolarità”).

Nonostante il GDPR non indichi la forma che tale accordo deve avere, le linee guida n. 7 del 2020 emanate dall’European Data Protection Board (di seguito EDPB) raccomandano caldamente l’adozione di un atto scritto che vincoli le parti, secondo i principi di accountability e trasparenza.

Come precisato dalle predette linee guida, l’accordo deve contenere:

1.  le informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati;

2.  le decisioni concordate, anche operative, da indicare in modo chiaro e trasparente affinché tutte le fasi del trattamento in contitolarità siano privacy compliant nel rispetto del GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento;

3.    le rispettive responsabilità, per il controllo e l’adeguamento al GDPR di tutte le fasi del trattamento in contitolarità, in particolare:

    •  nell’utilizzo dei dati da parte dei contitolari per la sola finalità concordata,
    • nell’adozione delle misure di sicurezza,
    • nell’attuazione dei principi privacy,
    • nel rendere l’informativa prevista ai sensi degli artt.13 e 14 GDPR, dunque i contitolari devono concordare chi dovrà adempiere a fornire l’informativa agli interessati e chi deve occuparsi delle richieste dell’interessato, anche se quest’ultimo può rivolgersi a qualunque contitolare
    • nella procedura in caso di data breach,
    • nell’essere in possesso di idonea base giuridica, che può essere diversa per ciascun contitolare, con raccomandazione ove possibile di utilizzare la stessa base giuridica per la finalità condivisa
    • nella redazione della DPIA (Data Protection Impact Assessment), individuando i rispettivi obblighi e responsabilità anche sulla scelta delle misure di sicurezza, fornendo indicazioni utili, nel rispetto dei segreti aziendali o proprietà intellettuale;
    • nell’avvalersi di responsabili del trattamento,
    • nell’esercizio dei diritti dell’interessato, chiarendo anche i ruoli e rapporti dei contitolari con gli interessati,
    • nel trasferimento dei dati a Paesi terzi,
    • nell’organizzare un punto di contatto con gli interessati al trattamento e autorità di controllo.

Le responsabilità tra i contitolari coinvolti nel trattamento possono essere diverse l’uno dall’altro proprio a seconda della responsabilità assunta nell’accordo interno di contitolarità, ferma restando la responsabilità solidale dei contitolari nei confronti dell’interessato. Difatti, il contitolare può agire in regresso nei confronti degli altri contitolari.

2. UTILIZZO DELL’ACCORDO DI CONTITOLARITÀ IN AMBITO CER

Nel caso in cui nell’ambito di una Comunità di Energia Rinnovabile (CER) vengano raccolti e trattati dati personali, come ad esempio dati anagrafici, luogo di residenza o numero di utenza, da due o più titolari del trattamento, sarà necessario stipulare l’accordo di contitolarità.

Le parti determinano congiuntamente le finalità del trattamento dei dati personali, che possono consistere nel calcolare il valore del risparmio in bolletta di ogni singolo utente o dell’incentivo spettante a ciascun membro.

L’espletamento delle suddette attività comporta infatti il trattamento di dati personali, come definiti all’art. 4, punto 1) del GDPR, nonché di particolari categorie di cui all’art. 9 del GDPR.

Ad ogni modo, con il presente accordo, le parti intendono instaurare sotto il profilo del trattamento dei dati un rapporto di contitolarità e disciplinare, di conseguenza, nel rispetto del principio di accountability, i rispettivi ruoli e le responsabilità nei confronti degli interessati. Le parti sono inoltre consapevoli che nel caso in cui le finalità e le modalità non sono state determinate congiuntamente, ciascuna parte opera come autonomo Titolare del trattamento ai sensi dell’art. 4 n. 7 del GDPR.

3. TIPOLOGIA DI DATI PERSONALI RACCOLTI

Il rapporto di contitolarità, che si instaura in relazione al trattamento di dati personali raccolti in ambito CER, avrà ad oggetto le seguenti tipologie di dati, che potranno essere condivisi tra le Parti durante il periodo di trattamento:

1.    Dati personali volontariamente forniti al momento della costituzione dell’ente giuridico:

–       Dati anagrafici;

–       E-mail;

–       Luogo di residenza;

–       Dati dei consumi elettrici;

2.     I dati personali raccolti dai sistemi informatici e dai software nel caso in cui si utilizzino delle piattaforme informatiche per la raccolta dei dati. Si tratta di dati di navigazione, la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. In questo caso siamo dinnanzi ad informazioni che non sono raccolte per essere associate ad interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano:

–       Indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito;

–       Indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.

3.     Qualora si faccia ricorso a delle piattaforme informatiche per la raccolta dei dati, al momento dell’accesso da parte dell’utente sulla piattaforma vengono raccolti i cookies.