LINEE-GUIDA-7-2020-EDPB-tradotte-versione-non-ufficiale

EDPB

 Linee guida n. 07/2020

sui concetti di titolare e responsabile nel GDPR - versione 2.0

Adottate definitivamente il 07 luglio 2021

VERSIONE UFFICIALEhttps://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en 

VIDEO ESPLICATIVO/FORMATIVO (RELATORE: LORENZO TAMOS): https://community.omniavis.it/t/edpb

 

SINTESI

concetti di titolare, contitolare e responsabile del trattamento giocano un ruolo cruciale nell'applicazione del Regolamento generale sulla protezione dei dati 2016/679 (GDPR), in quanto determinano chi sarà responsabile per il rispetto delle diverse norme sulla protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in pratica.

Il significato preciso di questi concetti, nonché i criteri per la loro corretta interpretazione, devono essere sufficientemente chiari e coerenti in tutto lo Spazio economico europeo (SEE).

I concetti di titolarecontitolare e responsabile sono concetti funzionali in quanto mirano ad allocare le responsabilità secondo i ruoli effettivi delle parti e concetti autonomi nel senso che dovrebbero essere interpretati principalmente secondo il diritto dell'UE sulla protezione dei dati.

 


Titolari del trattamento ("controller")

 In linea di principio, non vi è alcuna limitazione al tipo di soggetto che può assumere il ruolo di titolare del trattamento ma in pratica, di solitoè l'organizzazione in quanto tale, e non un individuo all'interno dell'organizzazione (come l'amministratore delegato, un dipendente o un membro del consiglio di amministrazione), che agisce in qualità di titolare.

Un titolare è un organismo che decide alcuni elementi chiave del trattamento.

La titolarità può essere definita dalla legge o può derivare da un'analisi degli elementi di fatto o delle circostanze del caso.

Alcune attività di trattamento possono essere considerate naturalmente legate al ruolo di un'entità (un datore di lavoro per i dipendenti, un editore rispetto agli abbonati o un'associazione relativamente ai suoi membri).

In molti casi, i termini di un contratto possono aiutare a identificare il titolare del trattamento, sebbene non siano determinanti in tutte le circostanze.

Il titolare del trattamento determina le finalità e i mezzi del trattamento, ovvero il motivo (il perché) e il modo (il come) del trattamento.

Il titolare del trattamento deve decidere (“must decide”) sia le finalità che i mezzi. Tuttavia, alcuni più pratici aspetti di attuazione del trattamento (di cui ai "mezzi non essenziali") possono essere lasciati decidere al responsabile del trattamento. Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati oggetto di trattamento per essere qualificato come tale.

Contitolari del trattamento ("controllership")

La qualifica di contitolari del trattamento può sorgere qualora nel trattamento sia coinvolto più di un soggetto.

Il GDPR introduce regole specifiche per i contitolari del trattamento e definisce un quadro per disciplinare la loro relazione. Il criterio generale per l'esistenza del controllo congiunto è la partecipazione congiunta di due o più soggetti nella determinazione delle finalità e dei mezzi di un trattamento.

La partecipazione congiunta può assumere la forma di una decisione comune presa da due o più enti o risultare da decisioni convergenti di due o più entità, in cui le decisioni si completano a vicenda e sono necessarie affinché il trattamento avvenga in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento.

Un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento di ciascuna delle parti è inseparabile, cioè indissolubilmente legato.

La partecipazione congiunta necessita (“needs”) di includere la determinazione dei fini da un lato e la determinazione dei mezzi dall'altro.

Responsabile ("processor")

Un responsabile del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta dati personali per conto del titolare del trattamento. Esistono due condizioni fondamentali per qualificarsi come responsabile: 
 
(A) che sia un'entità separata rispetto al titolare del trattamento e che 
 
(B) tratti i dati personali per suo conto.  Il responsabile non deve trattare i dati se non secondo le istruzioni del titolare. 
 
Le istruzioni del titolare possono comunque lasciare un certo grado di discrezionalità su come attuare al meglio le finalità del titolare, consentendo al responsabile del trattamento di scegliere il metodo tecnico e organizzativo più idoneo per assicurarle.  Tuttavia, un responsabile del trattamento viola il GDPR se va oltre le istruzioni del responsabile del trattamento e inizia a determinare le proprie finalità e i mezzi del trattamento. Il responsabile sarà quindi considerato titolare del trattamento in relazione a tale trattamento e può essere soggetto a sanzioni per il mancato rispetto delle istruzioni del titolare.  


Relazione tra titolare e responsabile del trattamento
 
Un titolare del trattamento deve utilizzare solo (“must only use) responsabili che forniscano garanzie sufficienti per attuare adeguate misure tecniche e organizzative affinché il trattamento soddisfi i requisiti del GDPR. Gli elementi da prendere in considerazione potrebbero essere l'esperienza del responsabile (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati); l'affidabilità del responsabile; le risorse del responsabile e la sua adesione a un codice di condotta approvato o a un meccanismo di certificazione.  
 
Qualsiasi trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico che deve la forma scritta, anche in formato elettronico, ed essere vincolante. Il titolare e il responsabile del trattamento possono scegliere di negoziare il proprio contratto comprensivo di tutti gli elementi obbligatori o di affidarsi, in toto o in parte, a clausole contrattuali standard.  
 
Il GDPR elenca gli elementi che devono essere stabiliti nel contratto di trattamento. L'accordo non dovrebbe, tuttavia, limitarsi a riaffermare (“copiare”) le disposizioni del GDPR; piuttosto, dovrebbe includere informazioni specifiche e concrete su come saranno soddisfatti i requisiti e quale livello di sicurezza si renda necessario per il trattamento dei dati personali oggetto del contratto di trattamento.  
 
Rapporto tra contitolari del trattamento
 
I contitolari del trattamento determinano e concordano in modo trasparente le rispettive responsabilità per il rispetto degli obblighi previsti dal GDPR.  La determinazione delle loro rispettive responsabilità deve riguardare in particolare l'esercizio dei diritti degli interessati e i doveri di fornire le informazioni. Oltre a ciò, la distribuzione delle responsabilità dovrebbe riguardare altri obblighi ed aspetti del trattamento quali (i) i principi generali di protezione dei dati, (ii) la base giuridica, (iii) le misure di sicurezza, (iv) l'obbligo di notifica della violazione dei dati, (v) le valutazioni d'impatto sulla protezione dei dati, (vi) l'utilizzo di responsabili del trattamento, (vii) i trasferimenti dei dati verso nazioni terze e (viii) i contatti con gli interessati e le autorità di controllo.  
 
Ciascun contitolare ha il dovere di assicurarsi di disporre di una base giuridica per il trattamento e che i dati non siano ulteriormente trattati in modo incompatibile rispetto le finalità per le quali sono stati originariamente raccolti dal titolare che condivide i dati.  La forma giuridica dell'accordo tra contitolari non è specificata dal GDPR. Per la tutela della certezza del diritto e al fine di garantire trasparenza e responsabilità, il Comitato raccomanda che tale accordo sia preso sotto forma di un documento vincolante come un contratto o altro atto legale vincolante ai sensi del diritto dell'UE o dello Stato membro cui sono soggetti i titolari del trattamento. 
 
L'accordo riflette debitamente i rispettivi ruoli e rapporti dei contitolari del trattamento nei confronti degli interessati e l'essenza dell'accordo che è da mettersi a disposizione dell'interessato. Indipendentemente dai termini dell'accordo, gli interessati possono esercitare i propri diritti nei confronti di e contro ciascuno dei contitolari. Le autorità di vigilanza non sono vincolate dai termini dell'accordo né sulla qualificazione data dalle parti contitolari del trattamento e neppure sul punto di contatto dalle stesse designato.