GDPR, nuove linee guida EDPB su titolare, contitolari e responsabile: ecco chi sono e cosa fanno - Cyber Security 360

Le regole

GDPR, nuove linee guida EDPB su titolare, contitolari e responsabile: ecco chi sono e cosa fanno

Nelle linee guida EDPB, pubblicate dopo consultazione, vengono specificati i concetti di titolare, responsabile e contitolari del trattamento dati, figure fondamentali per il rispetto della compliance al GDPR e per garantire i diritti degli interessati: l’autorità spiega chi può ricoprire i ruoli e quali gli ambiti di cui devono occuparsi

14 Lug 2021
Nicoletta Pisanu

Giornalista

Chi sono e cosa fanno titolare, responsabile e contitolari, quali sono i rapporti tra queste diverse figure e i requisiti che devono avere per ricoprire il ruolo: l’EDPB ha chiarito tutti questi aspetti nelle nuove linee guida adottate il 7 luglio ed elaborate dopo consultazione pubblica. Si precisano nel documento, in particolare, i concetti delle figure chiave della compliance al GDPR in un trattamento dati, incarichi rilevanti considerando che a esse è demandata la responsabilità relativa al rispetto delle norme sulla data protection e il rispetto dei diritti e delle libertà degli interessati.

Per questi motivi, spiega l’EDPB nel documento, “il significato preciso di questi concetti e i criteri per la loro corretta interpretazione devono essere sufficientemente chiari e coerenti in tutto lo Spazio economico europeo“. Si tratta, aggiunge l’autorità, di “concetti funzionali, in quanto mirano ad attribuire le responsabilità secondo i ruoli effettivi delle parti” ma anche “concetti autonomi nel nel senso che dovrebbero essere interpretati principalmente secondo il diritto di protezione dei dati dell’UE”.

LEGGI le Linee guida EDPB su titolare e responsabile – PDF

Titolare del trattamento, i chiarimenti nelle linee guida EDPB

Tecnicamente, non ci sarebbe alcuna limitazione per assumere il ruolo di titolare, ma l’EDPB spiega che di solito l’incarico è assunto dall’organizzazione e non da un individuo all’interno di essa come per esempio il CEO o un dipendente.

Il titolare, spiega l’autorità, “decide alcuni elementi chiave del trattamento. Il titolare può essere definito dalla legge o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso. Alcune attività di trattamento possono essere considerate come naturalmente legate al ruolo di un soggetto (un datore di lavoro a dipendenti, un editore agli abbonati o un’associazione ai suoi membri). In molti casi, i termini di un contratto possono aiutare a identificare il titolare, anche se non sono decisivi in tutte le circostanze”.

Gdpr, ecco chi sono (e cosa fanno) il data controller e il data processor

Le competenze

Il titolare determina gli scopi e i mezzi del trattamento dati, cioè in che modo svolgerlo e perché. Tuttavia, può delegare al responsabile del trattamento alcuni aspetti più pratici. L’EDPB chiarisce anche che non è fondamentale che il titolare abbia accesso ai dati che vengono trattati per essere qualificato come titolare.

Il ruolo dei contitolari

Quando più di un soggetto è coinvolto nel trattamento dati, può essere necessario siano nominati contitolari. In particolare, questa figura viene introdotta nel caso di partecipazione di due o più entità nella determinazione delle finalità e dei mezzi di un trattamento dati. 

Un criterio importante, spiega l’EDPB è che “il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da ciascuna parte è inseparabile, cioè inestricabilmente legato. La partecipazione congiunta deve includere la determinazione delle finalità da un lato e la determinazione dei mezzi dall’altro”. 

Linee guida EDPB, il responsabile del trattamento 

Un responsabile del trattamento, come precisato dall’EDPB, è:

  • una persona fisica o giuridica;
  • un’autorità pubblica;
  • un’agenzia o un altro organismo.

Un ente, insomma, che “elabora dati personali per conto del titolare del trattamento”. Le condizioni di base per assumere l’incarico sono:

  • essere un soggetto separato rispetto al titolare del trattamento;
  • trattare i dati personali per conto del titolare.

Il responsabile del trattamento “non deve elaborare i dati se non secondo le istruzioni del titolare del trattamento. Le istruzioni del titolare del trattamento possono ancora lasciare un certo grado di discrezione su come servire al meglio gli interessi del titolare, consentendo al responsabile di scegliere i mezzi tecnici e organizzativi più adatti”, sottolinea l’autorità.

Le possibili violazioni al GDPR

Nelle Linee guida viene precisato che “il responsabile del trattamento viola il GDPR se va oltre le istruzioni del titolare e inizia a determinare i propri scopi e mezzi del trattamento. Il responsabile del trattamento sarà quindi considerato titolare rispetto a quel trattamento particolare e può essere soggetto a sanzioni per essere andato oltre le istruzioni del titolare”. 

Come funziona il rapporto tra titolare e responsabile

Importante che il titolare incarichi responsabili unicamente se sono in grado di fornire garanzie sufficienti all’introduzione di adeguate misure tecniche e organizzative in modo che il trattamento soddisfi i requisiti del GDPR. Gli elementi da prendere in considerazione sono:

  • le conoscenze specialistiche del responsabile del trattamento, per esempio in ambito tecnico;
  • l’affidabilità dell’incaricato del trattamento;
  • le risorse a disposizione del responsabile;
  • la sua adesione a un codice di condotta approvato o a un meccanismo di certificazione.

Qualsiasi trattamento di dati personali da parte di un responsabile “deve essere regolato da un contratto o altro atto legale che deve essere redatto per iscritto, anche in forma elettronica, ed essere vincolante. Titolare e responsabile possono scegliere di negoziare il proprio contratto includendo tutti gli elementi obbligatori o di affidarsi, in tutto o parzialmente, su clausole contrattuali standard“.

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

La relazione tra i contitolari

I contitolari, viene precisato nelle linee guida EDPB, “determinano e concordano in modo trasparente le rispettive responsabilità per il rispetto degli obblighi previsti dal GDPR. La determinazione delle rispettive competenze deve riguardare in particolare l’esercizio dei diritti degli interessati e i doveri di fornire informazioni”. Oltre a questo, le competenze dovrebbe coprire altri obblighi del titolare quali:

  • i principi generali di protezione dei dati;
  • la base giuridica;
  • le misure di sicurezza;
  • l’obbligo di notifica delle violazioni dei dati;
  • le valutazioni d’impatto sulla protezione dei dati;
  • l’uso degli incaricati del trattamento;
  • i trasferimenti verso Paesi terzi;
  • i contatti con gli interessati e le autorità di controllo.

Ogni contitolare ha il dovere di assicurarsi di avere una base giuridica per il trattamento e che i dati “non siano ulteriormente trattati in modo incompatibile con le finalità per le quali sono stati originariamente raccolti dal titolare che condivide i dati”.

Non è obbligatorio un contratto, ma è fortemente raccomandato dall’autorità: “La forma giuridica dell’accordo tra contitolari non è specificata dal GDPR. Per il bene della certezza del diritto e al fine di fornire trasparenza e responsabilità, l’EDPB raccomanda che tale accordo sia fatto sotto forma di un documento vincolante come un contratto o un altro atto giuridico vincolante ai sensi del diritto dell’UE o dello Stato membro a cui sono soggetti i contitolari”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5