Le linee guida dell’EDPB sui concetti di titolare e responsabile del trattamento sono un valido supporto all’interpretazione di aspetti fondamentali per l’applicazione del GDPR.
Il 7 settembre 2020, l’European Data Protection Board (“EDPB”) ha lanciato una consultazione in merito alla bozza di “Guidelines on the concepts of controller and processor in the GDPR”, che sostituiscono le precedenti Linee Guida 1/2010 del Gruppo di Lavoro ex Art. 29. Lo scopo delle linee guida dell’EDPB è di fornire indicazioni più puntuali e precise sul significato dei concetti di titolare e responsabile del trattamento alla luce delle definizioni contenute nel Regolamento UE 2016/679 (“GDPR”), e di evidenziare le peculiarità dei diversi ruoli nonché la distribuzione delle responsabilità tra gli attori coinvolti nelle attività di trattamento dei dati personali.
I concetti di titolare e di responsabile del trattamento svolgono una funzione cruciale nell’applicazione del GDPR, in quanto individuano i soggetti chiamati in prima persona al rispetto della disciplina sulla protezione dei dati personali, nonché coloro nei confronti dei quali gli interessati possono esercitare i loro diritti. L’entrata in vigore del GDPR ha comportato la nascita di numerosi interrogativi in merito. Basti pensare all’introduzione del principio di accountability, alle nuove disposizioni sul trattamento dei dati personali rivolte – non solo ai titolari – ma anche ai responsabili del trattamento, nonché alle figure, dai contorni più incerti, dei contitolari del trattamento e dei terzi/riceventi. Tutto quanto precede ha quindi comportato l’emersione di nuovi dubbi e criticità interpretative, che minano pertanto l’obiettivo di assicurare un approccio coerente e armonizzato in tutti i Paesi dell’Unione europea in materia di trattamento dei dati personali.
Alla luce dell’esigenza di garantire un significato preciso, chiaro e condiviso di questi concetti nonché i criteri per il loro corretto utilizzo, l’EDPB ha quindi ritenuto necessario fornire ulteriori delucidazioni e orientamenti sul tema. In particolare, le nuove Guidelines si articolano in due sezioni principali: in una prima sezione, vengono illustrati i concetti di titolare, contitolare, responsabile e terzi/riceventi, mentre una seconda parte viene dedicata alla definizione di ulteriori indicazioni in merito alle principali implicazioni connesse al trattamento per titolari e responsabili, nonché per i contitolari. Il documento è altresì corredato da un diagramma di flusso, nel quale vengono schematizzati diversi orientamenti di natura pratica.
Gli aspetti più interessanti che emergono dalle linee guida possono essere riassunti come segue:
1. Il concetto di titolare del trattamento
Il titolare del trattamento determina le finalità e le modalità di trattamento dei dati personali, cioè il perché e il come del trattamento. Tuttavia, alcuni aspetti più pratici dell’attuazione possono essere lasciati al responsabile del trattamento. Inoltre, non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati che vengono trattati per essere qualificato come titolare del trattamento.
I concetti di titolare del trattamento e di responsabile del trattamento sono concetti funzionali: mirano a ripartire le responsabilità in base ai ruoli effettivi delle parti. Ciò implica che lo status giuridico di un soggetto come “titolare del trattamento” o “responsabile del trattamento” deve essere determinato, in linea di principio, dalle sue attività effettive in una situazione specifica, piuttosto che dalla designazione formale come “titolare del trattamento” o “responsabile del trattamento“, ad esempio tramite un contratto). Non è possibile né diventare un titolare del trattamento né sottrarsi agli obblighi del titolare del trattamento semplicemente dando forma al contratto in un certo modo, quando le circostanze di fatto prevedono qualcos’altro.
2. Il concetto di contitolare del trattamento
Il criterio generale per l’esistenza di una contitolarità del trattamento è la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e delle modalit di un trattamento di dati personali. La partecipazione congiunta può assumere la forma di una decisione comune presa da due o più soggetti o risultare dalle loro decisioni convergenti, quando le decisioni si completano a vicenda e sono necessarie affinché il trattamento avvenga in modo tale da avere un impatto tangibile sulla determinazione delle finalità e delle modalità del trattamento.
Un criterio importante è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da parte di ciascuna di esse è inscindibile, cioè indissolubilmente legato.
3. Il concetto di responsabile del trattamento
Il responsabile del trattamento non deve trattare i dati se non secondo le istruzioni del titolare del trattamento. Le istruzioni del titolare del trattamento possono comunque lasciare un certo margine di discrezionalità su come servire al meglio gli interessi del titolare del trattamento, consentendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più idonei.
Un responsabile del trattamento viola il GDPR, tuttavia, se va oltre le istruzioni del titolare del trattamento e inizia a determinare le proprie finalità e le proprie modalità di trattamento. Il responsabile del trattamento sarà quindi considerato in questo scenario un titolare del trattamento e potrà essere soggetto a sanzioni per il superamento delle istruzioni del titolare del trattamento.
Le linee guida sono sottoposte a una consultazione pubblica fino al 19 ottobre 2020.