In che modo il Comitato europeo per la protezione dei dati (EDPB) definisce il concetto di Titolare del trattamento e Responsabile del trattamento?
Il punto da cui le parti coinvolte nel trattamento dei dati devono partire è chiarire su chi tra loro sta determinando lo scopo del trattamento, in quanto ciò definirà il loro ruolo di Titolare del trattamento o Responsabile del trattamento, definendo di conseguenza i loro obblighi ai sensi del GDPR.
Il 16 febbraio 2010, il WP29 (Gruppo di lavoro sulla protezione dei dati ai sensi dell’art. 29 Direttiva 95/46), ora sciolto, aveva espresso un parere sui concetti di Titolare del trattamento e Responsabile del trattamento, ma essendo precedente al GDPR la sua rilevanza è stata notevolmente ridotta. A seguito dell’entrata in vigore del GDPR sono sorte domande su come il Regolamento Europeo ha impattato sui concetti di Titolare, Contitolari del trattamento e Responsabili del trattamento e sui rispettivi obblighi e diritti. L’EDPB, in qualità di successore del WP29, ha riconosciuto che erano necessari ulteriori chiarimenti su come applicare questi ruoli ed ha emanato a settembre 2020 delle nuove Linee Guida per spiegare i concetti e le responsabilità dei Titolari del trattamento e dei Responsabili del trattamento, basandosi sull’opinione del 2010, ma questa volta con un focus specifico su come operano nel quadro del GDPR.
La guida dell’EDPB ha confermato che l’identità di un Titolare del trattamento o Responsabile del trattamento è determinata in linea di principio dalle sue attività concrete piuttosto che dalla sua designazione formale. I termini e le condizioni contrattuali sono importanti per la definizione dei ruoli, ma non sono decisivi. Alcune attività si presteranno naturalmente ad un ruolo o all’altro. Ad esempio, il Titolare del trattamento decide gli elementi chiave del processo di elaborazione dei dati come le finalità e i mezzi del trattamento, al contrario un Responsabile del trattamento non può mai determinare lo scopo del trattamento, sebbene vi sia un certo margine per il Responsabile del trattamento per prendere decisioni in relazione agli elementi più pratici di attuazione.
Per Contitolarità (o Cotitolarità) si intende il caso in cui due o più Titolari del trattamento determinano lo scopo e i mezzi del trattamento. È importante notare che il fatto che una delle parti non abbia accesso ai dati personali trattati non è sufficiente per escludere la sua qualità di contitolare. Allo stesso modo, anche se due o più titolari del trattamento possono non perseguire la stessa finalità del trattamento, il fatto che le loro finalità siano simili o complementari può dar luogo a contitolarità del trattamento. Tuttavia, se una parte che non persegue uno scopo proprio in relazione al trattamento, ed è solo pagata per i servizi resi, non è un contitolare del trattamento bensì un mero Responsabile del trattamento. Le Linee Guida dedicano ampia trattazione ai casi di contitolarità e rappresentano lo strumento migliore attualmente disponibile per determinare tale circostanza nell’ambito di un trattamento di dati che coinvolge più soggetti.
La guida dell’EDPB chiarisce che il punto di partenza per valutare la qualità di un organizzazione nell’ambito di un trattamento di dati è basato sulle circostanze di fatto in cui si svolge il trattamento, indipendentemente da come le parti sono nominate o etichettate. Il fattore determinante è lo scopo del trattamento.
I ruoli di Titolare e Responsabile del trattamento si sono evoluti negli anni e sono ben noti. Tutte le organizzazioni, pubbliche e private, dovrebbero comunque rivedere i propri accordi sul trattamento del dati personali sotto la lente delle Linee Guida dell’EDPB e verificare se i ruoli di Titolare e Responsabile del trattamento sono solo di nome piuttosto che di sostanza. La designazione di un Responsabile, poi, non può prescindere da un completo ed esaustivo elenco degli obblighi a cui il Responsabile deve attenersi e delle istruzioni da impartire a quest’ultimo, anche ricorrendo, se del caso, ad allegati contrattuali.
E’ opportuno infine ricordare che il Titolare, quando esternalizza un trattamento ad un Responsabile, mantiene l’obbligo di vigilanza sull’operato del Responsabile, pertanto non è da escludere l’idoneità di includere nei contratti col Responsabile anche una procedura di valutazione del Responsabile secondo la periodicità ritenuta più appropriata.