Titolare del trattamento e responsabile del trattamento nel GDPR

Articolo header

GDPR

L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento ai sensi del Regolamento Europeo 679/2016.

Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.

Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità tra gli attori.

Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.

L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.

Nella prima parte delle Linee guida vengono chiarite le definizioni di Titolare, Contitolare e Responsabile del trattamento. Nella seconda parte invece le Linee guida si focalizzano sulle implicazioni dei diversi ruoli.

Il Titolare

Per ciò che attiene la definizione di Titolare del trattamento e il suo corretto inquadramento, viene richiamata l’attenzione sull’ interpretazione di 5 “building blocks” dell’articolo 4 (7) del Regolamento, soffermandosi sull’analisi delle seguenti parole:

  • persona fisica o giuridica, autorità pubblica, servizio o altro organismo
  • determina
  • singolarmente o insieme ad altri,
  • le finalità e i mezzi
  • trattamento di dati personali

Il Contitolare

Con riferimento al concetto di Contitolare del trattamento, l’EDPB si sofferma nel chiarire cosa debba intendersi per decisione “congiunta” e decisione “convergente” anche alla luce della giurisprudenza della Corte di Giustizia Europea.

Sinteticamente si può parlare di decisione congiunta quando le parti decidono insieme le finalità e i mezzi del trattamento mentre può parlarsi di decisione convergente quando la decisione di uno dei titolari completa quella dell’altro, o comunque quando il comportamento di uno dei titolari ha un effetto tangibile sulle finalità e mezzi del trattamento anche se in differenti fasi.

Il Responsabile del trattamento

In relazione al concetto di Responsabile del trattamento, premesso che un trattamento può essere delegato per fasi di trattamento a più sub responsabili, vengono sottolineati due condizioni da rinvenire per un corretto inquadramento di tale soggetto:

La prima condizione è l’essere un’entità separata in relazione al Titolare.

La seconda condizione è trattare i dati per conto del Titolare.

Le linee guida si chiudono con un utile diagramma di flusso che può aiutare gli operatori a inquadrare correttamente Titolari, Contitolari e Responsabili del trattamento.

Altre news