DOMANDA
Stiamo cercando di capire, per un nostro cliente, quale sia la distinzione dei ruoli tra titolare e responsabile del trattamento nel caso di utilizzo di una piattaforma di telemedicina.
Sarebbe nostro parere che chi inserisce i dati del paziente dovrebbe essere individuato come titolare e l’azienda che possiede la piattaforma come responsabile.
È corretto?
RISPOSTA
Le Linee Guida dell’EDPB chiariscono che il titolare del trattamento è il soggetto che ha potere di decidere in autonomia le finalità e i mezzi del trattamento.
Tale potere, quando non è definito dalla legge, deve essere verificato analizzando gli elementi di fatto e le specifiche circostanze del caso concreto, inclusi i termini contrattuali esistenti tra le parti.
L’EDPB precisa anche che:
- il titolare determina le finalità e i mezzi del trattamento, ovvero il perché e il come del trattamento;
- il titolare è tale se decide sia sulle finalità che sui mezzi, anche se alcuni aspetti relativi alle modalità del trattamento ed ai mezzi impiegati, i c.d. “mezzi non essenziali”, possono essere lasciati alla scelta del responsabile;
- il titolare è tale anche se non accede ai dati, laddove determini scopi e mezzi essenziali.
Le condizioni espressamente indicate per qualificare un soggetto come responsabile sono essenzialmente due:
- essere una entità separata rispetto al titolare
- trattare i dati personali del titolare per suo conto, dove “per suo conto” significa principalmente “a beneficio di”, “nell’interesse di”. Il responsabile serve, quindi, gli interessi del titolare, non tratta i dati per perseguire propri scopi, non determina le finalità né i mezzi essenziali del trattamento e agisce secondo le istruzioni ricevute dal titolare del trattamento.
Per provare a chiarire questi concetti, facciamo due esempi pratici, iniziando da quello di una società che fornisce il servizio di taxi: la stessa società è un titolare del trattamento, poiché tratta i dati personali dei dipendenti come parte del servizio di trasporto, che svolge senza alcuna istruzioni da parte della società ABC, determinandone finalità e mezzi.
Il servizio taxi determina anche in modo indipendente le categorie di dati che raccoglie e per quanto tempo li conserva, agisce quindi come titolare, seppure il trattamento avvenga a seguito di una richiesta di servizio da parte della società ABC (su richiesta di ABC, che usufruisce del servizio per semplificare la prenotazione del taxi ai propri dipendenti o terzi, ma non “per conto” di ABC).
Di contro, facciamo l’esempio di un Cloud service provider e di un Comune che ha deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nella sua scuola e dei servizi educativi.
Il Comune è titolare del trattamento e il cloud service provider responsabile del trattamento. È il Comune che decide le finalità dei trattamenti e che deve assicurare gli adempimenti ex art 28, tra cui che il service provider rispetti le specifiche istruzioni impartite sui periodi di conservazione, la cancellazione dei dati e via dicendo.
Il ruolo del responsabile deve, quindi, essere determinato caso per caso sulla base delle attività concrete in uno specifico contesto, analizzando la natura del servizio e accertando il grado di influenza che ciascuna parte ha in concreto nella determinazione delle finalità e dei mezzi essenziali del trattamento.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: info@Cybersecurity360.it
