L’EDPS – il Garante Europeo della Protezione dei Dati – ha da pochi giorni pubblicato delle utili Linee Guida sui concetti di Titolare, Responsabile e Contitolare del trattamento.
Sappiamo ormai tutti che il Titolare del trattamento è colui che stabilisce le modalità di trattamento e sul quale grava l’onere di mettere in atto tutte le misure, tecniche ed organizzative, adeguate a garantire che i suddetti trattamenti siano conformi al alla normativa europea.
Sappiamo, altresì, che il Responsabile del trattamento è la persona fisica o giuridica che tratta i dati per conto del Titolare, cioè un soggetto terzo al quale il Titolare ricorre per lo svolgimento di trattamenti fatti per suo conto ed in suo nome.
Ed è altrettanto noto che il rapporto tra Titolare e Responsabile deve essere regolato da un contratto che vincoli il Responsabile al Titolare, nel quale dovranno essere precisate, tra le altre cose, durata e contenuto dei trattamenti che gli sono affidati, la loro natura e finalità, il tipo di dati e le categorie di interessati, gli obblighi e i diritti del titolare.
Come afferma il Prof. Pizzetti nel libro “Intelligenza Artificiale, Protezione dei dati personali e regolazione”, “anche il Responsabile del trattamento, sia pure come comprimario, si muove all’interno del medesimo scenario del titolare: un sistema di regole di protezione dei dati personali, per un verso robustamente definito e per l’altro flessibile, la cui applicazione deve basarsi su una lettura e una attuazione capaci di accompagnare anche le evoluzioni tecnologiche, man mano che si sviluppano”.
Infine, vi è la figura del Contitolare del trattamento, introdotta dal GDPR, che prevede la possibilità che uno stesso trattamento possa essere posto in essere da due o più soggetti, che ne determinano congiuntamente le finalità, le modalità e i mezzi per svolgerlo.
Sappiamo, però, che in questo scenario astrattamente perfetto, alcune dinamiche organizzative moderne assumono caratteristiche difficili da incasellare nettamente nell’una piuttosto che nell’altra figura, lasciando, alcune volte, l’interprete nel dubbio su quale sia il corretto ruolo rivestito da certi soggetti.
Con le Linee Guida del 7 novembre 2019 (le trovate al n. 44 dell’elenco della sezione “documenti utili” del Blog) l’EDPS ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento UE 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea e sulla libera circolazione di tali dati (che ha abrogato il Regolamento CE n. 45/2001 e la decisione n. 1247/2002/CE).
Nelle proprie Linee Guida l’EDPS si occupa, in particolare, di:
- chiarire i concetti di Titolare, di Responsabile e di Contitolarità:
- di spiegare come sono distribuiti gli obblighi e le responsabilità tra tali soggetti;
- di illustrare alcuni case studies (individuabili facilmente nel testo all’interno di riquadri colorati) con riferimento ai rapporti tra Titolari e Responsabili, tra Titolari indipendenti tra loro e tra Contitolari.
Interessanti e utili mi sembrano, inoltre, le checklist in fondo ai capitoli dedicati, rispettivamente, al ruolo di Titolare (pag. 13) e a quello di Responsabile del trattamento (pag. 20), composti da una serie di domande con risposta “YES/NO”, che semplificano molto l’attività dell’interprete.
Altrettanto utili mi sembrano, poi, gli allegati alle Linee guida dedicati a:
- Annex 1: diagramma di flusso da consultare per stabilire quando si è in presenza di un Titolare, di un Responsabile o di un Contitolare;
- Annex 2: elenco dei doveri del Titolare del trattamento;
- Annex 3: elenco dei doveri del Responsabile del trattamento.
Benchè le linee guida dell’EDPS si riferiscano, in particolare, al Regolamento 2018/1725 sul trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea, è indubbia l’utilità interpretativa e pratica di queste linee guida anche nel più ampio panorama che coinvolge il Regolamento UE 2018/679 e, pertanto, l’opportunità di averle a portata di mano in caso di dubbi pratici.