Titolari del trattamento ("controller")
In linea di principio, non vi è alcuna limitazione al tipo di soggetto che può assumere il ruolo di titolare del trattamento ma in pratica, di solito, è l'organizzazione in quanto tale, e non un individuo all'interno dell'organizzazione (come l'amministratore delegato, un dipendente o un membro del consiglio di amministrazione), che agisce in qualità di titolare.
Un titolare è un organismo che decide alcuni elementi chiave del trattamento.
La titolarità può essere definita dalla legge o può derivare da un'analisi degli elementi di fatto o delle circostanze del caso.
Alcune attività di trattamento possono essere considerate naturalmente legate al ruolo di un'entità (un datore di lavoro per i dipendenti, un editore rispetto agli abbonati o un'associazione relativamente ai suoi membri).
In molti casi, i termini di un contratto possono aiutare a identificare il titolare del trattamento, sebbene non siano determinanti in tutte le circostanze.
Il titolare del trattamento determina le finalità e i mezzi del trattamento, ovvero il motivo (il perché) e il modo (il come) del trattamento.
Il titolare del trattamento deve decidere (“must decide”) sia le finalità che i mezzi. Tuttavia, alcuni più pratici aspetti di attuazione del trattamento (di cui ai "mezzi non essenziali") possono essere lasciati decidere al responsabile del trattamento. Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati oggetto di trattamento per essere qualificato come tale.
Contitolari del trattamento ("controllership")
La qualifica di contitolari del trattamento può sorgere qualora nel trattamento sia coinvolto più di un soggetto.
Il GDPR introduce regole specifiche per i contitolari del trattamento e definisce un quadro per disciplinare la loro relazione. Il criterio generale per l'esistenza del controllo congiunto è la partecipazione congiunta di due o più soggetti nella determinazione delle finalità e dei mezzi di un trattamento.
La partecipazione congiunta può assumere la forma di una decisione comune presa da due o più enti o risultare da decisioni convergenti di due o più entità, in cui le decisioni si completano a vicenda e sono necessarie affinché il trattamento avvenga in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento.
Un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento di ciascuna delle parti è inseparabile, cioè indissolubilmente legato.
La partecipazione congiunta necessita (“needs”) di includere la determinazione dei fini da un lato e la determinazione dei mezzi dall'altro.
Responsabile ("processor")
Un responsabile del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta dati personali per conto del titolare del trattamento. Esistono due condizioni fondamentali per qualificarsi come responsabile:
(A) che sia un'entità separata rispetto al titolare del trattamento e che
(B) tratti i dati personali per suo conto. Il responsabile non deve trattare i dati se non secondo le istruzioni del titolare.
Le istruzioni del titolare possono comunque lasciare un certo grado di discrezionalità su come attuare al meglio le finalità del titolare, consentendo al responsabile del trattamento di scegliere il metodo tecnico e organizzativo più idoneo per assicurarle. Tuttavia, un responsabile del trattamento viola il GDPR se va oltre le istruzioni del responsabile del trattamento e inizia a determinare le proprie finalità e i mezzi del trattamento. Il responsabile sarà quindi considerato titolare del trattamento in relazione a tale trattamento e può essere soggetto a sanzioni per il mancato rispetto delle istruzioni del titolare.
Relazione tra titolare e responsabile del trattamento
Un titolare del trattamento deve utilizzare solo (“must only use”) responsabili che forniscano garanzie sufficienti per attuare adeguate misure tecniche e organizzative affinché il trattamento soddisfi i requisiti del GDPR. Gli elementi da prendere in considerazione potrebbero essere l'esperienza del responsabile (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati); l'affidabilità del responsabile; le risorse del responsabile e la sua adesione a un codice di condotta approvato o a un meccanismo di certificazione.
Qualsiasi trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico che deve la forma scritta, anche in formato elettronico, ed essere vincolante. Il titolare e il responsabile del trattamento possono scegliere di negoziare il proprio contratto comprensivo di tutti gli elementi obbligatori o di affidarsi, in toto o in parte, a clausole contrattuali standard.
Il GDPR elenca gli elementi che devono essere stabiliti nel contratto di trattamento. L'accordo non dovrebbe, tuttavia, limitarsi a riaffermare (“copiare”) le disposizioni del GDPR; piuttosto, dovrebbe includere informazioni specifiche e concrete su come saranno soddisfatti i requisiti e quale livello di sicurezza si renda necessario per il trattamento dei dati personali oggetto del contratto di trattamento.
Rapporto tra contitolari del trattamento
I contitolari del trattamento determinano e concordano in modo trasparente le rispettive responsabilità per il rispetto degli obblighi previsti dal GDPR. La determinazione delle loro rispettive responsabilità deve riguardare in particolare l'esercizio dei diritti degli interessati e i doveri di fornire le informazioni. Oltre a ciò, la distribuzione delle responsabilità dovrebbe riguardare altri obblighi ed aspetti del trattamento quali (i) i principi generali di protezione dei dati, (ii) la base giuridica, (iii) le misure di sicurezza, (iv) l'obbligo di notifica della violazione dei dati, (v) le valutazioni d'impatto sulla protezione dei dati, (vi) l'utilizzo di responsabili del trattamento, (vii) i trasferimenti dei dati verso nazioni terze e (viii) i contatti con gli interessati e le autorità di controllo.
Ciascun contitolare ha il dovere di assicurarsi di disporre di una base giuridica per il trattamento e che i dati non siano ulteriormente trattati in modo incompatibile rispetto le finalità per le quali sono stati originariamente raccolti dal titolare che condivide i dati. La forma giuridica dell'accordo tra contitolari non è specificata dal GDPR. Per la tutela della certezza del diritto e al fine di garantire trasparenza e responsabilità, il Comitato raccomanda che tale accordo sia preso sotto forma di un documento vincolante come un contratto o altro atto legale vincolante ai sensi del diritto dell'UE o dello Stato membro cui sono soggetti i titolari del trattamento.
L'accordo riflette debitamente i rispettivi ruoli e rapporti dei contitolari del trattamento nei confronti degli interessati e l'essenza dell'accordo che è da mettersi a disposizione dell'interessato. Indipendentemente dai termini dell'accordo, gli interessati possono esercitare i propri diritti nei confronti di e contro ciascuno dei contitolari. Le autorità di vigilanza non sono vincolate dai termini dell'accordo né sulla qualificazione data dalle parti contitolari del trattamento e neppure sul punto di contatto dalle stesse designato.