Gli orientamenti forniti dall’EDPB (“European Data Protection Board”) contribuiscono a fare chiarezza sul significato dei concetti di titolare, responsabile e contitolare. Qual è l’impatto sul settore assicurativo e della distribuzione assicurativa?
.
.
Le Autorità privacy europee sottolineano che i concetti di titolare, contitolare e di responsabile del trattamento sono concetti “funzionali”: si basano, quindi, su un’analisi fattuale piuttosto che formale. L’EDPB precisa che lo stesso soggetto può rivestire contemporaneamente ruoli diversi e sovrapponibili tra loro.
.
TITOLARE, RESPONSABILE E CONTITOLARE
Titolare del trattamento
Il titolare del trattamento è quel soggetto che determina le finalità e i mezzi del trattamento: ovvero il “perché” e il “come” del trattamento. L’individuazione del ruolo di titolare deve avvenire sulla base di un’analisi delle concrete attività svolte in uno specifico contesto.
.
Responsabile del trattamento
Per quanto concerne la figura del responsabile (art. 28 del GDPR), due sono i requisiti per la ricorrenza della sua qualifica: deve trattarsi di un’entità separata dal titolare e che tratti i dati personali per conto del titolare.
.
Contitolare del trattamento
Sul concetto di contitolare (di cui all’art. 26 del Regolamento), le “Guidelines” rilevano che la contitolarità può sorgere quando più “attori” partecipano congiuntamente alla determinazione delle finalità e dei mezzi del trattamento. Nello specifico, la contitolarità può assumere la forma di una comune decisione presa da due o più entità o derivare da decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.
.

.
CONSIDERAZIONI FINALI
I chiarimenti forniti dai Garanti privacy UE contribuiscono a chiarire ulteriormente il significato dei concetti di titolare, responsabile e contitolare e suggeriscono rilevanti best practices per guidare gli attori del settore assicurativo e della distribuzione assicurativa a declinare correttamente l’applicazione del GDPR con riguardo alla molteplicità e specificità dei trattamenti svolti nell’ambito della cosiddetta “catena assicurativa”. Sarà, pertanto, necessario che i rapporti tra compagnie e distribuzione siano in linea con le nuove indicazioni delle Autorità privacy europee.