Ruoli privacy di Titolare e Responsabile nel GDPR. Quali indicazioni per i Gruppi di Società?

Il 2 settembre scorso, l’European Data Protection Board (EDPB) ha emanato le Linee Guida 07/2020 sui concetti di Titolari e Responsabili del trattamento ai sensi del GDPR– in consultazione sino al 19 ottobre 2020 – con l’obiettivo di fornire chiarimenti utili a delineare ruoli e responsabilità nell’ambito della protezione dei dati personali.

Troppo spesso si crede che i “ruoli privacy” possano essere determinati in sede contrattuale o comunque sulla base di ragionamenti di convenienza, con un approccio valutativo del tutto disgiunto dalla realtà. Al contrario, non è possibile né diventare un Titolare né sottrarsi agli obblighi del Titolare addossandoli a un altro soggetto all’interno di un contratto.

In alcuni casi è stata la stessa Autorità Garante a pronunciarsi in via diretta sul tema, individuando i corretti ruoli privacy in determinati contesti operativi.

Tuttavia, in molte situazioni l’individuazione dei ruoli assunti in relazione al trattamento dei dati personali risulta incerta e complessa, come nel caso della ripartizione dei ruoli e delle responsabilità all’interno dei Gruppi di Società.  

Innanzitutto, l’assunzione del ruolo di Titolare, Contitolare o Responsabile dovrebbe derivare da un’analisi delle disposizioni normative e/o dalle circostanze fattuali da cui si può dedurre il grado di influenza che il soggetto esercita sul trattamento di dati personali.

Nell’ambito dei Gruppi di Società, quasi certamente potrà essere esclusa l’ipotesi relativa alle disposizioni di legge. Ciò significa i Gruppi dovranno ripartire le rispettive responsabilità in modo del tutto coerente con quanto operativamente compiuto in relazione al trattamento dei dati personali.

Ripercorriamo brevemente le definizioni e i punti salienti offerti dal documento esaminato.

PER TITOLARE si intende l'attore che ha determinato il “perché” del trattamento e “come”, cioè quali mezzi essenziali devono essere impiegati. Per l’EDPB, esempi di “mezzi essenziali” del trattamento sono

• il tipo di dati personali che vengono trattati
• la durata del trattamento
• le categorie di destinatari
• le categorie di soggetti interessati.

PER CONTITOLARE si intende colui che determina congiuntamente ad altro/i Titolare/i gli elementi di cui sopra. La situazione di Contitolarità si verifica ad esempio quando

• la determinazione degli scopi e dei mezzi del trattamento è frutto di decisioni convergenti e
• il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento svolto da ciascuna di esse è indissolubilmente legato.

PER RESPONSABILE si intende colui che:

• è un’entità separata dal Titolare
• effettua il trattamento dei dati personali per conto del Titolare del trattamento, nel senso di “servire l'interesse di qualcun altro” secondo il concetto legale di delega
• svolge il trattamento su istruzione del Titolare.

Al Responsabile può essere demandata la scelta dei “mezzi non essenziali” del trattamento, come la scelta di un particolare tipo di hardware o software o dettagliate misure di sicurezza.

PER TERZO si intende un soggetto diverso da:

• l'interessato
• il Titolare
• il Responsabile
• gli autorizzati.

PER DESTINATARIO si intende il soggetto diverso dalle Autorità pubbliche a cui vengono comunicati i dati personali, indipendentemente dal fatto che si tratti di un terzo o meno.

Vediamo alcuni esempi pratici riferiti ai Gruppi di Società, forniti all’interno del documento esaminato.

Vi forniamo un altro esempio pratico:

In conclusione, ciascun Gruppo avrà l’onere di indagare sulle circostanze di fatto che riguardano ciascuna tipologia di trattamento svolta nell’ambito del contesto interaziendale, al fine di definire i “ruoli privacy” e le rispettive responsabilità in modo del tutto aderente alle influenze gestionali ed organizzative esercitate dalle affiliate rispetto alle attività di trattamento dei dati personali.