L’European Data Protection Board (EDPB), il 7 settembre 2020, ha trasmesso una consultazione in merito alla bozza di “Guidelines on the concepts of controller and processor in the GDPR”, in sostituzione delle Linee Guida 1/2010 del Gruppo di Lavoro ex Art. 29, precedentemente in vigore.
L’obiettivo primo di tali linee guida dell’EDPB è quello di manifestare e presentare indicazioni idonee circa il significato delle figure del “titolare” e “responsabile” del trattamento, in considerazione delle definizioni presenti nel Regolamento UE 2016/679 in materia di GDPR.
Titolare e responsabile del trattamento hanno certamente un ruolo cruciale nell’applicazione del GDPR: individuano i soggetti che si devono attenere al rispetto della disciplina sulla protezione dei dati personali e coloro nei confronti dei quali gli interessati esercitano i loro diritti, e fin dalla loro prima apparizione sullo scenario giuridico il loro ruolo è stato oggetto di dibattito e di approfondimento.
Sugli attributi di queste due figure sono emersi numerosi dubbi interpretativi, a cui consegue un approccio non sempre coerente e armonizzato in tutti i Paesi dell’Unione europea circa il trattamento dei dati personali.
Le nuove Guidelines, rese pubbliche dall’EDPB proprio per tentare di fare chiarezza su queste figure, si articolano in due sezioni principali: nella prima vengono illustrati i concetti di titolare, contitolare, responsabile e terzi/riceventi, mentre nella seconda sono presenti le definizioni di alcune indicazioni in merito alle principali implicazioni connesse al trattamento per titolari e responsabili.
Gli aspetti più rilevanti risultano dunque essere i seguenti:
– Il titolare del trattamento, il soggetto che definisce gli obiettivi e le modalità di trattamento dei dati personali, a cui possono anche eventualmente essere demandati alcuni aspetti pratici di tale attività.
– Il criterio per la presenza di una contitolarità del trattamento, che può essere ravvisata nella partecipazione congiunta di due o più soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali. La co-partecipazione può definirsi come la forma di una decisione comune presa da due o più soggetti oppure essere il prodotto delle decisioni convergenti, quando le decisioni si completano a vicenda e sono necessarie affinché il trattamento abbia un impatto effettivo sulla determinazione delle finalità e delle modalità del trattamento.
– Il responsabile del trattamento, soggetto che non ha la facoltà di trattare i dati se non secondo le istruzioni del titolare del trattamento, a cui è attribuito un certo margine di potere discrezionale su come servire al meglio gli interessi del titolare del trattamento, consentendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più idonei. Sussiste una violazione del GDPR, se il responsabile del trattamento va oltre le istruzioni del titolare del trattamento e definisce le proprie finalità e le proprie modalità di trattamento.
È dunque evidente come il titolare del trattamento e il responsabile del trattamento siano due ruoli funzionali ed interdipendenti, il cui scopo principale è la corretta distribuzione delle responsabilità in materia di tutela dei dati. Le linee guida vengono sottoposte a consultazione pubblica fino al 19 ottobre 2020 e successivamente verranno proposte nella loro versione definitiva.
Scrivi un commento
Devi accedere, per commentare.