L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sulla definizione di titolare del trattamento e responsabile del trattamento ai sensi del Reg. UE 679/2016, che saranno sottoposte a consultazione pubblica fino al 19 ottobre 2020.
Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.
Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità di “titolare”, “contitolare” e “responsabile” del trattamento dei dati.
Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.
L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.
Ad esempio la società di servizi IT, pur essendo una società separata ma fornisce servizi di assistenza sui sistemi IT, deve essere considerata responsabile esterno. E’ inevitabile che la società fornitrice di servizi abbia accesso sistematicamente ai dati personali durante lo svolgimento del servizio, sebbene l’accesso ai dati non sia l’oggetto principale del servizio.
Devono considerarsi responsabili esterni anche la società di servizi per la conservazione dei dati e il provider di servizi cloud.
(Fonte Garante Privacy)
Approfondimenti:
I soggetti privacy
Titolare o responsabile del trattamento? Attenzione ai bandi di gara nella PA