La cessione di portafogli di crediti: profili di data protection

di Davide Carlesso


Il mercato delle cessioni di crediti, trainato in particolare da operazioni su crediti deteriorati, è in continuo fermento: nel 2021 in Italia si sono registrate transazioni di crediti non performing per complessivi 33 miliardi di euro, ma le stime per il biennio 2022/2023 mostrano un trend in crescita[1].

In tale contesto, la scrupolosa osservanza delle norme in materia di protezione dei dati personali, già dalle fasi preliminari di trattativa, è indispensabile per una corretta pianificazione di qualsiasi operazione di cessione di crediti, e ciò tanto per assicurare un’efficace tutela dei diritti degli interessati, quanto per scongiurare eventuali gravose sanzioni che possano incidere anche sul margine di risultato degli attori coinvolti.

Le cessioni di portafogli di crediti

Le operazioni di cessione di portafogli di crediti comportano, da un lato, la cessione della titolarità dei  crediti e, dall’altro lato, la contestuale comunicazione, dal cedente al cessionario, dei dati personali riferibili ai debitori ceduti.

In tale contesto, entrambi gli attori coinvolti – cedente e cessionario – devono considerarsi quali titolari autonomi del trattamento. Essi, infatti:

  • perseguono finalità proprie: il cedente continuerà a conservare e a trattare i dati personali oggetto di trasmissione al cessionario per assolvere ad obblighi di legge di varia natura (es. fiscale, contabile, di antiriciclaggio, ecc.), oppure per riscontrare istanze che eventualmente perverranno dai debitori interessati, mentre il cessionario, che li ha acquisiti, tratterà gli stessi dati, oltre che per adempiere ad obblighi legali, per la gestione delle posizioni debitorie cui tali dati si riferiscono;
  • trattano i dati secondo modalità distinte: cedente e cessionario decideranno autonomamente quali e quanti dati trattare, per quanto tempo conservarli (in ragione dei diversi obblighi di legge gravanti sugli stessi) e quali misure di sicurezza, tecniche ed organizzative, implementare a protezione di tali dati.

Qualificandosi quale nuovo e autonomo titolare del trattamento dei dati oggetto della cessione, il cessionario sarà tenuto ad adempiere a tutti gli obblighi posti dal Regolamento (UE) 2016/679, che vanno dalla menzionata predisposizione di idonee misure di sicurezza a tutela dei dati ospitati all’interno degli archivi fisici e dei sistemi informatici (art. 32), all’aggiornamento del registro dei trattamenti (art. 30), all’individuazione del corretto presupposto di liceità del trattamento (art. 6), alla somministrazione di informazioni in ordine al trattamento dei dati riferibili agli interessati (artt. 13 e 14).

Con riferimento all’obbligo di cui al sopra citato art. 6, corre d’obbligo operare un distinguo tra cessioni di crediti propriamente intesi e cessioni aventi ad oggetto i contratti da cui originano i crediti acquisiti:

  • nella prima ipotesi, trattandosi di crediti, tipicamente in sofferenza, derivanti da rapporti contrattuali estinti, la base giuridica del trattamento dei relativi dati personali deve ricondursi al legittimo interesse del cessionario (art. 6 co. 1 lett. f)) alla riscossione, all’incasso e all’eventuale recupero, giudiziale o stragiudiziale, dei crediti ceduti;
  • nella seconda ipotesi, trattandosi di rapporti contrattuali in essere, tipicamente in bonis, il fondamento giuridico del trattamento dei relativi dati personali è rinvenibile nell’esecuzione degli originari contratti (art. 6 co. 1 lett. b)), attesa l’intervenuta successione, dal lato attivo, dei relativi rapporti.

Con riferimento all’obbligo di cui agli artt. 13 e 14 sopra citati, il cessionario sarà tenuto a rendere la propria informativa privacy a tutti i debitori (o contraenti) ceduti: al riguardo, trattandosi di dati personali comunicati da terzi (il cedente), l’informativa dovrà contenere tutte le informazioni aggiuntive richieste dall’art. 14 e dovrà essere resa “entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati sono trattati” (art. 14, co. 3 lett. a)).

Attesa la moltitudine di rapporti tipicamente oggetto di tali operazioni di cessione, che spesso sono effettuate in blocco ex art. 58 D.Lgs. 1° settembre 1993, n. 385, circostanza che renderebbe difficoltoso ed oneroso il raggiungimento dell’intera platea di interessati, il cessionario deve considerare l’esimente dall’obbligo di rendere l’informativa, offerta dall’art. 14, co. 5 lett. b), quando la comunicazione di informazioni risulti impossibile (basti pensare al caso in cui non si abbia a disposizione alcun riferimento di contatto) o implichi uno sforzo sproporzionato (come nel caso in cui tale comunicazione sia destinata ad un gran numero di soggetti, anche dislocati geograficamente in maniera diffusa e frammentata).

Ciononostante, l’ultimo inciso della lettera b) del quinto comma citato impone al titolare del trattamento/cessionario dei crediti di adottare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni”.

Al riguardo, soccorre il provvedimento del Garante per la protezione dei dati personali “Cessione in blocco e cartolarizzazione dei crediti” del 18 gennaio 2007[2], i cui contenuti non risultano essere stati superati dalla progressiva attività di revisione operata dall’Autorità a seguito dell’entrata in vigore del Regolamento (UE) 2016/679 e che, ancora oggi, fornisce utili indicazioni in ordine alla somministrazione di informazioni agli interessati nel contesto delle cessioni in blocco di crediti.

In particolare, nel dichiarare sproporzionata – rispetto all’interesse che la norma intende tutelare – la consegna dell’informativa singolarmente a ciascuno dei debitori ceduti, l’Autorità individua alcune misure volte alla semplificazione dell’obbligo di informativa, che implicano:

  • in primis, la pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana, da parte del cessionario, di un’informativa generale e completa di tutti gli elementi richiesti dalla vigente disciplina, e ciò “al più tardi contestualmente al prodursi degli effetti della cessione in blocco, anche nell’eventuale interesse di altri autonomi titolari del trattamento coinvolti nell’operazione”, che consenta di individuare univocamente, secondo parametri obiettivi e predeterminati, le posizioni debitorie oggetto di cessione: ergo, tale informativa dovrà essere resa in uno con l’avviso di cessione in blocco pubblicato sulla Gazzetta Ufficiale e dovrà allegare l’elenco puntuale dei crediti oggetto di cessione, affinché ciascun debitore possa evincere se il proprio debito ricada nell’alveo della cessione cui tale forma pubblicitaria è preordinata;
  • in secondo luogo, la somministrazione di un’informativa completa individualmente a ciascun debitore ceduto, e ciò “alla prima occasione utile successiva all’avvenuta cessione in blocco (ad esempio, in sede di invio dell’estratto conto o della prima richiesta di pagamento, se del caso anche tramite la società incaricata dei servizi di servicing)”: al riguardo si registra come tale informativa individuale sia di norma resa in uno con la notifica dell’avvenuta cessione, e ciò mediante concreta allegazione oppure per effetto di un richiamo – presente in seno alla citata notifica di cessione – ad un’informativa ad hoc pubblicata su un sito web gestito dal cessionario e, in tale modo, resa disponibile per la consultazione a tutti i debitori ceduti.

Si osserva, inoltre, come le medesime soluzioni siano attuabili anche in ipotesi di cessioni in massa di contratti[3].

La fase di due diligence

Propedeutica alla negoziazione e alla stipula di un contratto di cessione di crediti si situa, di norma, la fase c.d. di due diligence. Tale momento risulta funzionale alla valutazione – dal punto di vista operativo, legale, contabile e fiscale – di un campione di posizioni debitorie (opportunamente identificato sulla base di criteri condivisi tra gli attori coinvolti) ed è volta ad appurare – anzitutto – l’esistenza e l’esigibilità dei crediti oggetto di cessione (onde accertare, ad esempio, che non siano prescritti), il grado di completezza della documentazione a corredo dei crediti medesimi, lo stato di avanzamento delle attività segnaletiche e di recupero eventualmente svolte dal potenziale cedente, e, più in generale, la bontà dell’operazione di acquisto, ossia la convenienza – per il potenziale cessionario – di addivenire alla conclusione della medesima.

Tale fase di valutazione risulta altresì necessaria al potenziale cessionario al fine di formulare e proporre al potenziale cedente – sulla base degli elementi esaminati – un ragionevole prezzo di acquisto dei crediti costituenti il portafoglio.

Tale attività comporta lo scambio di preliminari informazioni e dati personali afferenti al campione del portafoglio oggetto di analisi, flusso che – per l’esattezza – ha luogo in senso unidirezionale dal potenziale cedente al potenziale cessionario, in ragione del quale il primo dovrà adottare misure idonee ad assicurare la disponibilità, l’integrità e la riservatezza delle informazioni messe a disposizione, nonché l’accesso alle medesime – da parte del secondo – nel rispetto del principio di minimizzazione, e ciò al fine di contemperare le esigenze, da un lato, di consentire al potenziale cessionario di svolgere un’efficace valutazione e, dall’altro lato, di scongiurare l’accadimento di eventuali data breach.

Nella prassi operativa si riscontrano una molteplicità di soluzioni atte a consentire la messa a disposizione al potenziale cessionario di dati e documenti relativi al campione delle posizioni debitorie oggetto di analisi, le quali vanno dall’utilizzo di canali di trasmissione cifrata (quali SFTP e FTPS) all’utilizzo di spazi cloud (sia privati che, più tipicamente, pubblici). Proprio quest’ultima, a parere di chi scrive, rappresenta la soluzione maggiormente rispondente agli standard qualitativi e di sicurezza richiesti dall’art. 32 del Regolamento (UE) 2016/679[4], consistendo nella predisposizione, ad opera del potenziale cedente, di uno spazio virtuale (c.d. Virtual Data Room, in breve VDR) all’interno del quale viene collocata la documentazione oggetto del campione[5].

Al fine di assicurare la conformità ai menzionati standard di sicurezza, è opportuno che la VDR sia configurata in modo tale da rendere accessibili i relativi contenuti per un periodo di tempo limitato e definito (scaduto il quale dovrà essere dismessa), solo a soggetti preventivamente e specificamente individuati da parte del potenziale cessionario e provvisti di utenze nominali, mediante l’utilizzo di credenziali di riconoscimento e, auspicabilmente, di un sistema di autenticazione a due fattori (c.d. strong authentication). È altresì appropriato che i documenti siano consultabili soltanto in modalità “lettura” (e non possano, pertanto, essere editabili, scaricabili in locale, né replicabili in alcun modo) e che tutte le azioni svolte dagli utenti siano tracciate mediante appositi log. È consigliabile, inoltre, cifrare i dati, tanto in transit (ad esempio attraverso l’utilizzo di protocolli di connessione di tipo “https”) quanto, ove possibile, at rest (ad esempio nello storage del fornitore, ad opera del medesimo, oppure in via preventiva, ad opera del potenziale cedente, salvo l’invio della chiave di decifratura al potenziale cessionario mediante l’impiego di un diverso canale comunicativo).

Quanto alla qualificazione delle parti protagoniste delle attività di due diligence (potenziali cedente e cessionario), la prassi registra orientamenti tra loro opposti, tra chi pretende di designare il potenziale cessionario quale responsabile del trattamento per il tempo in cui perdura detta fase e chi, invece, opta per la conservazione in capo ad entrambe le parti del ruolo di titolari autonomi del trattamento.

Ad avviso di chi scrive, la seconda tra le due opzioni menzionate risulterebbe maggiormente aderente al dettato normativo[6], nonché rispondente ai criteri interpretativi forniti dallo European Data Protection Board[7].

Al riguardo deve rilevarsi come, anche nella fase preliminare di due diligence, entrambe le parti operino quali autonomi titolari del trattamento, atteso che:

  • la comunicazione di dati, da parte del potenziale cedente, risponde all’esigenza di mettere l’altra parte nella condizione di poter valutare l’opportunità di stipulare il contratto di cessione ed è atto conforme all’obbligo, di cui all’art. 1337 c.c., di agire secondo buona fede nelle trattative (che include il dovere delle parti di portare a conoscenza reciproca i dati e le informazioni necessarie per valutare la convenienza del contratto oggetto di trattativa rispetto ai propri interessi e motivi);
  • il trattamento svolto dal potenziale cessionario ha luogo per finalità auto-determinate (e non etero-determinate, da parte del potenziale cedente), quale appunto l’autonoma valutazione della convenienza alla conclusione dell’operazione di cessione, nonché secondo modalità decise in piena libertà: sarà invero il potenziale cessionario a stabilire quali dati siano significativi per le proprie valutazioni, come tali dati debbano essere rielaborati o incrociati con altre informazioni, come possano essere trattati secondo propri modelli statistici, predittivi, di analisi o di scoring;
  • la designazione del potenziale cessionario quale responsabile del trattamento appare, viceversa, incompatibile col dettato dell’art. 28 co. 1, che presuppone che il trattamento posto in essere dal responsabile sia svolto “per conto” del titolare del trattamento[8], ossia nel perseguimento di finalità e secondo modalità imposte[9], sulla base di precise istruzioni, da parte del potenziale cedente: nell’ipotesi che qui ci occupa, alcun trattamento avrebbe luogo secondo tale schema; viceversa, qualificare il potenziale cessionario quale responsabile del trattamento, assoggettandolo a precise istruzioni e limiti entro cui circoscrivere il proprio trattamento, rischia di minare l’autonomia di giudizio che gli è propria in tale fase preliminare; al fine di condurre un’efficace valutazione preliminare, il potenziale cessionario sarebbe costretto a determinare da sé le finalità e le modalità del trattamento, con ciò esponendosi, nel caso in cui sia stato preventivamente nominato quale responsabile del trattamento, alla violazione di cui all’art. 28 co. 10 del Regolamento (UE) 2016/679[10].

In proposito, deve peraltro rammentarsi come l’Autorità, al pari del giudice di merito, abbia la facoltà di riqualificare il fatto, non assumendo, a tal riguardo, alcuna rilevanza la qualificazione soggettiva attribuita da una parte all’altra oppure la sottoscrizione di un apposito accordo di nomina a responsabile del trattamento, ove tali aspetti collidano con elementi fattuali che facciano emergere una diversa definizione dei ruoli degli attori coinvolti[11].

Va da sé che anche l’intercessione di soggetti terzi nella relazione commerciale che si instaura tra il potenziale cedente e il potenziale cessionario (basti pensare, ad esempio, ai servicer cui siano demandate particolari attività di trattamento per conto del cedente, finanche l’individuazione di potenziali acquirenti e la conduzione delle trattative) non possa incidere in alcun modo nella definizione del ruolo del potenziale cessionario, il quale agirà in ogni caso quale titolare del trattamento per le ragioni già argomentate.

La qualificazione delle parti come autonomi titolari del trattamento non esclude, tuttavia, che possano comunque essere negoziati, nella preliminare fase di trattativa e scambio di informazioni, adeguati presidi di sicurezza, propri della designazione a responsabile del trattamento come disciplinata ai sensi dell’art. 28 del Regolamento (UE) 2016/679: eventuali obbligazioni in tal senso potranno infatti essere poste in capo al potenziale cessionario, seppure in assenza di una formale designazione, attraverso la loro pattuizione in seno ad un Non Disclosure Agreement che – non avendo vincoli contenutistici (diversamente dall’accordo per la nomina a responsabile, che deve contenere il set minimo di istruzioni indicate all’art. 28) – rappresenta lo strumento adatto a contemplare obblighi di sorta, quali l’assistenza e la cooperazione nella denegata ipotesi di data breach occorsi durante la fase di due diligence, oppure l’adozione di particolari misure di sicurezza (qualora, ad esempio, non sia utilizzato lo strumento della VDR, ma le informazioni siano invece trasmesse direttamente al potenziale cessionario attraverso altri canali).

La qualificazione del potenziale cessionario quale autonomo titolare del trattamento comporta la naturale assunzione delle responsabilità poste dal Regolamento (UE) 2016/679 (più ampie rispetto a quelle che gravano sul responsabile del trattamento, circoscritte ad alcune norme specifiche e limitate alle istruzioni ricevute dal titolare stesso), con particolare riferimento agli obblighi di cui agli articoli 6, 13 e 14; a tale riguardo si evidenzia come nella fase di due diligence:

  • la base giuridica sia sussumibile nel legittimo interesse del potenziale cessionario, rinvenibile appunto nella necessità di valutare l’opportunità e la convenienza di procedere al definitivo acquisto;

le informazioni richieste ai sensi dell’art. 14 citato possano invece essere omesse; a parere di chi scrive, il potenziale cessionario dovrà considerare un’altra scriminante offerta dalla lettera b) del quinto comma, ossia il rischio che la comunicazione di informazioni agli interessati possa rendere impossibile o pregiudicare gravemente il conseguimento delle finalità perseguite (rectius, più correttamente – avuto riguardo alla versione inglese della norma in parola – degli obiettivi concreti che il titolare si è prefisso): la somministrazione di informazioni agli interessati, in una fase propedeutica all’eventuale acquisto, destinata allo svolgimento di valutazioni connotate per loro stessa natura da un’esigenza di riservatezza, oltre a non essere compatibile coi termini di norma imposti dai potenziali cedenti, pare, invero, suscettibile di ostacolare il conseguimento dell’obiettivo del potenziale cessionario, ossia lo svolgimento di un’efficace valutazione del campione, scevra da condizionamenti di sorta.


Note bibliografiche:

[1] Fonte: https://www.teleborsa.it/News/2022/02/23/market-watch-npl-transazioni-effettuate-nel-2021-pari-a-33-miliardi-37.html#.YiOIXOjMJPY

[2] Disponibile per la consultazione al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1392461

[3] Al riguardo la disciplina può essere ricondotta al successivo provvedimento dell’Autorità, “Linee guida per trattamenti dati relativi al rapporto banca-clientela” del 25 ottobre 2007 (disponibile per la consultazione al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247), che al paragrafo 3.6 regola la fattispecie della cessione di sportelli bancari, la quale – configurando una cessione di ramo d’azienda ai sensi dell’art. 2558 c.c. – comporta la successione nei contratti in essere (che non hanno carattere personale) e, per l’effetto, la comunicazione di dati personali riferibili ai rapporti giuridici (sia attivi che passivi) ceduti in blocco.

[4] Come afferma il primo comma della norma in parola, la selezione delle adeguate misure di sicurezza, volte ad assicurare – tra l’altro – la riservatezza, l’integrità e la disponibilità dei dati, deve prendere le mosse da un’analisi puntale dello stato dell’arte e dei costi di attuazione delle misure stesse, della natura, dell’oggetto, del contesto e delle finalità del trattamento, così come del rischio che possa derivare per i diritti e le libertà delle persone fisiche; nel caso di specie, si osserva come il trattamento in questione: consti nella messa a disposizione di dati e documenti nel contesto di un’operazione di mercato tra operatori – di norma – altamente specializzati; riguardi dati personali per lo più anagrafici e di natura bancaria e finanziaria (questi ultimi, ancorché non particolari ai sensi dell’art. 9 del Regolamento (UE) 2016/679, sono dati comunque “sensibili (nel senso in cui tale termine è comunemente compreso) […] perché la violazione in relazione a tali dati implica chiaramente gravi ripercussioni sulla vita quotidiana dell’interessato”, come ha evidenziato il “Gruppo di Lavoro Articolo 29” nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017); sottenda rischi ad ampio spettro, finanche sul piano reputazionale (tanto per gli attori coinvolti, quanto per gli interessati).

[5] Ancorché non sia questa la sede a ciò deputata, in questo contesto assume un ruolo particolarmente rilevante la figura del  fornitore dei servizi cloud (di archiviazione principalmente, ma non solo). Quest’ultimo, infatti, dovrà essere designato dal potenziale cedente quale responsabile del trattamento nella misura in cui tratti e, specificatamente, conservi dati personali esclusivamente per conto del potenziale cedente (anziché per conto proprio), conformemente alle istruzioni impartite: all’uopo, ancorché sia impiegato un servizio cloud “standardizzato”, il potenziale cedente dovrà previamente accertare che il provider abbia predisposto idonee misure di sicurezza a protezione dei dati personali, con particolare riguardo ai luoghi fisici di archiviazione (quali server e data center), ad eventuali trasferimenti di dati verso Paesi extra-UE, nonché ai test di sicurezza (quali Vulnerability Assessment e Penetration Test) periodicamente effettuati al fine di individuare, e mitigare prontamente, eventuali vulnerabilità alla sicurezza applicativa e infrastrutturale.

[6] Si fa riferimento, in questa circostanza, all’art. 28 del Regolamento (UE) 2016/679.

[7] Si fa riferimento alle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” adottate il 7 luglio 2021, disponibili per la consultazione sul sito web dell’EDPB raggiungibile al seguente link: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en

[8] Le Linee guida 07/2020 cit., al paragrafo 79 chiariscono come “Il trattamento di dati personali per conto del titolare comporta innanzitutto che il soggetto distinto tratti i dati personali a beneficio del titolare del trattamento”.

[9] Le Linee guida 07/2020 cit., al paragrafo 81 rammentano che “Agire «per conto di» significa inoltre che il responsabile del trattamento non può effettuare trattamenti per finalità proprie”.

[10] Le Linee guida 07/2020 cit., al paragrafo 81 ricordano come “il responsabile del trattamento è in violazione del GDPR qualora non si limiti a trattare i dati in base alle istruzioni del titolare del trattamento e inizi a definire proprie finalità e propri mezzi di trattamento. Il responsabile del trattamento si configura come titolare in un caso del genere e può essere soggetto a sanzioni qualora non si limiti a trattare i dati in base alle istruzioni del titolare”. Per altro verso, è opinione di chi scrive che possa sostenersi anche il contrario: ancorché non espressamente previsto, parrebbe, invero, parimenti sanzionabile anche l’indebita attribuzione – e talvolta l’abusiva imposizione unilaterale – del ruolo di responsabile in capo ad un soggetto allorquando tale attribuzione appaia in contrasto con le evidenze del caso concreto.

[11] Linee guida 07/2020, paragrafo 12: “Quelli di titolare del trattamento e di responsabile del trattamento sono concetti funzionali: mirano a ripartire le responsabilità in funzione dei ruoli effettivamente svolti. Ciò implica che lo status giuridico di un soggetto in quanto «titolare del trattamento» o «responsabile del trattamento» deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale in quanto «titolare del trattamento» o «responsabile del trattamento» (ad esempio in un contratto). Ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile”; paragrafo 21: “Appurato che quello di titolare del trattamento è un concetto funzionale, esso si basa pertanto su un’analisi fattuale piuttosto che formale”; paragrafo 28: “In molti casi, l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. Anche se il contratto non stabilisce chi è il titolare del trattamento, esso può contenere elementi sufficienti per desumere chi decide in merito alle finalità e ai mezzi del trattamento. Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. Se non sussiste motivo di dubitare che ciò rispecchi fedelmente la realtà, niente vieta di attenersi alle previsioni del contratto. Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto”; paragrafo 29: “Se una parte decide di fatto le finalità e le modalità del trattamento di dati personali, essa sarà il titolare del trattamento anche laddove un contratto la indichi come responsabile di tale trattamento. Analogamente, non è sufficiente che un contratto designi una parte come «subappaltatore» affinché tale parte contrattuale sia considerata responsabile del trattamento ai sensi della normativa in materia di protezione dei dati”.


Autore:

 

en_US