Fino al 19 ottobre 2020 sono state in pubblica consultazione le Linee Guida del Comitato Europeo per la Protezione dei Dati (c.d. EDPB) sui concetti di titolare e di responsabile del trattamento nel Regolamento UE n. 679/2016 sulla protezione dei dati (c.d. GDPR).

Le linee guida sono state adottate dal Comitato in quanto, a seguito della entrata in vigore del GDPR, sembrano permanere dubbi, tra i destinatari della normativa, sulla corretta individuazione dei ruoli di titolare e responsabile del trattamento, con conseguenze rilevanti in termini di compliance.

La individuazione del ruolo di titolare o di responsabile, infatti, come osservato dall’EDPB, è cruciale per ripartire correttamente le responsabilità che l’uno e l’altro soggetto assumono – nell’ambito di un trattamento di dati personali – nei confronti delle persone fisiche interessate dal trattamento stesso.

Due sono i principi cardine sui quali il testo dell’EDPB posto in consultazione poggia:

  • le definizioni di titolare e responsabile non devono considerarsi mutate rispetto alla previgente direttiva 95/46/CE, sicché anche i criteri ed il metodo per attribuire l’uno o l’altro ruolo devono considerarsi immutati;
  • essere un titolare o un responsabile nell’ambito di un trattamento dati personali corrisponde ad una situazione oggettiva, non modificabile dalle parti coinvolte nel trattamento attraverso designazioni formali volte a scardinare tale situazione concreta.

Le linee guida sono state poi organizzate in modo tale da analizzare nel dettaglio sia le definizioni di titolare e responsabile del trattamento fornite dal GDPR, sia le conseguenze che derivano, in base alla normativa vigente, dall’assunzione dell’uno o dell’altro ruolo.

In breve:

  • il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7, GDPR).

Per individuare correttamente tale figura, secondo l’EDPB, occorre verificare in concreto qual è il soggetto che detiene il potere decisionale in merito allo scopo e ai mezzi del trattamento, ossia il soggetto che determina il “perché” si trattano i dati e le “modalità” con cui trattarli.

Detta valutazione può concernere norme di legge dalle quali sia eventualmente desumibile il citato potere decisionale, contratti in essere tra le parti (purché la suddivisione delle responsabilità ivi contenuta non sia rappresentativa esclusivamente di una situazione di comodo) e, infine, il ruolo o l’attività svolta da un soggetto con riferimento al trattamento da un punto di vista meramente privacy.

L’EDPB ha messo un punto fermo anche su circostanze che ad oggi costituiscono ancora fonte di errore da parte dei soggetti tenuti alla compliance nella determinazione del ruolo di titolare.

L’accessibilità dei dati, infatti, non costituisce un discrimine ai fini dell’attribuzione della titolarità del trattamento e, nell’ambito di persone giuridiche, il titolare del trattamento non è mai individuabile nelle persone fisiche che al suo interno detengono poteri di direzione e rappresentanza.

  • il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8 GDPR).

I fattori chiave per la determinazione del responsabile del trattamento sono stati individuati dall’EDPB nell’essere un’entità diversa dal titolare del trattamento e nel trattare i dati per conto di quest’ultimo, anziché per fini propri.

Fondamentale, pertanto, il concetto della esternalizzazione di una attività di trattamento dati ad un soggetto che, in quanto esterno, dovrà ricevere delega ad hoc, contenente le istruzioni specifiche sulla base delle quali organizzare il trattamento stesso.

L’EDPB focalizza la propria attenzione sul fatto che la qualificazione di un soggetto quale responsabile potrebbe essere più complessa ove – come ammissibile – quest’ultimo avesse un certo grado di discrezionalità su alcune modalità con cui procedere al trattamento. Per tali ipotesi il Comitato suggerisce di valutare se la discrezionalità in commento ricada su mezzi del trattamento qualificabili come “essenziali” (ad esempio, tipo di dati trattati, destinatari dei dati, interessati dal trattamento, ecc.) o “non essenziali” (i.e., tipologia di hardware o software da impiegare), poiché solamente in quest’ultimo caso si sarebbe effettivamente in presenza di un responsabile.

 

In conclusione, le Linee Guida attualmente che sono state in consultazione non sembrano apportare particolari novità in merito ai concetti già noti di titolare e responsabile del trattamento. Esse possono, tuttavia, senz’altro rappresentare un valido spunto interpretativo alla luce dei numerosi esempi pratici che l’EDPB ha ritenuto di formulare a supporto dei destinatari della normativa sulla protezione dei dati che quotidianamente si trovano ad assumere determinazioni in tal senso.

Importante considerare che la determinazione del ruolo di un soggetto, nell’ambito di un trattamento di dati, è analisi estremamente delicata per le conseguenze che, in termini di responsabilità, possono derivarne. A tale proposito, il messaggio più importante che sembra derivare dalle Linee Guida è che in nessun caso le parti coinvolte potranno ribaltare il ruolo effettivamente da esse ricoperto attraverso scritture ad hoc di designazione che non rispecchino la situazione concreta.

Seguici sui social: