La normativa in tema di protezione dei dati personali ha permesso di dipanare alcuni aspetti non sempre molto chiari in ambito privacy e sicurezza digitale connessi alle dinamiche aziendali e delle pubbliche amministrazioni; infatti, in diverse occasioni, può risultare difficile delineare i ruoli dei soggetti coinvolti nel processo che riguarda il trattamento dei dati personali.
Sul punto sono intervenute le linee guida d.d. 02.09.2020 pubblicate dal Garante Europeo della protezione dei dati (European Data Protection Supervisor o EDPS), che si sono espresse sulla figura del Titolare, del Contitolare e del Responsabile del trattamento, i quali rivestono senz’altro il ruolo di attori principali all’interno del regolamento UE 2016/679 e sono fondamentali per assegnare correttamente la responsabilità secondo gli effettivi ruoli delle parti.
Sei un responsabile del trattamento dei dati se…
Per capire se, all’interno del processo di trattamento dei dati personali, si riveste il ruolo di responsabile è necessario che venga data risposta negativa alle tre domande seguenti:
- Decidi gli scopi e i mezzi del trattamento con competenze giuridiche specifiche?
- Decidi gli scopi e i mezzi del trattamento con competenze implicite?
- Decidi gli scopi e i mezzi del trattamento nella pratica?
Sei un titolare del trattamento dei dati se…
Nel caso in cui sia stata data risposta positiva, anche solo ad una delle precedenti domande, si rientra nella qualifica di Titolare del trattamento e allora è necessario capire chi sia il Responsabile ed eventualmente delineare la relazione che intercorre tra i soggetti coinvolti nel processo.
Si possono, dunque, ipotizzare quattro casistiche differenti riguardo all’attribuzione di ruoli. La prima è quella che vede entrambe le figure coinvolte nelle medesime decisioni che riguardano gli scopi e i mezzi del processo del trattamento; in questo caso entrambe le figure rivestiranno il ruolo di contitolare del trattamento.
Nel caso in cui solo alcuni scopi e mezzi dei processi del trattamento siano decisi insieme (e altri individualmente), le due figure potranno essere qualificate come contitolari solo degli scopi e dei mezzi condivisi. Se, viceversa, le figure coinvolte decidono separatamente gli scopi e i mezzi, colui che decide gli scopi e i mezzi sarà il Titolare del trattamento per gli scopi e i mezzi da lui decisi, ma sarà, altresì, Responsabile per gli scopi e i mezzi decisi dall’altro soggetto.
Infine, se solo una delle due figure decide gli scopi e i mezzi del processo del trattamento, sarà il Titolare mentre l’altro soggetto sarà il Responsabile.
Team Privacy CGN