SOCIAL

Compliance GDPR: cosa dicono i Garanti Privacy europei sulla titolarità dei dati

Il Comitato Europeo per la protezione dei dati (EDPB) il 7 luglio scorso ha adottato la versione definitiva delle Linee-guida sui concetti di titolare, responsabile e contitolari del trattamento dei dati nel GDPR (“Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0”).

In particolare, l’EDPB sottolinea che il titolare del trattamento è quel soggetto che determina le finalità e i mezzi del trattamento: ovvero il “perché” e il “come” del trattamento.

Per quanto concerne la figura del responsabile (ex art. 28 del GDPR), due sono i requisiti per la ricorrenza della sua qualifica: deve trattarsi di un’entità separata dal titolare e che tratti i dati personali per conto del titolare.

Sul concetto di contitolare (di cui all’art. 26 del GDPR), le “Guidelines” evidenziano che la contitolarità può sorgere quando più “attori” partecipano congiuntamente alla determinazione delle finalità e dei mezzi del trattamento.

Il Comitato sottolinea che i concetti di titolare, contitolare e di responsabile del trattamento sono concetti “funzionali”, basandosi su un’analisi fattuale piuttosto che formale.

Sarà, pertanto, necessario che gli adempimenti di compliance GDPR e gli “accordi dati” con le Compagnie siano in linea con le nuove indicazioni delle Autorità privacy europee.