FTCC | Studio Legale Associato

FTCC

News

Il 2 settembre u.s. il Comitato Europeo per la Protezione dei dati ha adottato le seguenti linee guida, che sono state entrambe poste in consultazione pubblica sino al 19 ottobre p.v.:

–     n. 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento nel GDPR (per visionarle clicca qui);

–     n. 8/2020 sul targeting degli utenti dei social media (per visionarle clicca qui).

Per amor di brevità pubblicherò in questa newsletter la sintesi delle linee guida sui concetti di titolare e di responsabile, rimandando alla prossima la sintesi delle linee guida sul targeting degli utenti dei social media.

Con riferimento alle linee guida n. 7/2020, segnalo che il Comitato ha analizzato approfonditamente i concetti e il ruolo di titolari, contitolari e responsabili del trattamento ribadendo che tali concetti sono “funzionali” e quindi lo status giuridico deve essere determinato sulle effettive attività svolte da questi soggetti, piuttosto che basato su una designazione formale. In alcuni casi, la condizione di titolarità può essere determinata in base alla legge (si pensi all’ambito delle amministrazioni locali) o scaturire dall’esame delle disposizioni contrattuali, che possono aiutare a comprendere chi determina realmente mezzi e finalità del trattamento.

Il Comitato ha fornito anche alcuni esempi pratici per facilitare il lavoro degli interpreti, specificando ad esempio in quali casi gli studi legali, le banche e i revisori contabili agiscono quali titolari del trattamento, mantenendo la propria autonomia ed indipendenza nella gestione dei dati; in quali casi i fornitori di servizi cloud, di hosting, di ricerche di mercato, di supporto IT e i call center sono invece da considerarsi responsabili del trattamento poiché agiscono sulle base di specifiche istruzioni e direttive dei titolari; e infine in quali situazioni possa invece configurarsi una contitolarità e quindi una decisione congiunta su mezzi e finalità del trattamento, con riferimento ad esempio ad un progetto di ricerca cui partecipano diversi istituti scientifici o all’organizzazione di un evento per promuovere un prodotto in co-branding fra due aziende.

Nella parte finale delle linee guida in questione il Comitato ha anche dato alcune utili indicazioni sul contenuto dell’atto di nomina di un responsabile del trattamento ex art. 28 GDPR e dell’atto di contitolarità ex art. 26 GDPR.

Avv. Santina Parrello


categoria:Privacy e diritti della personalità