{"id":1899,"date":"2021-09-17T16:42:00","date_gmt":"2021-09-17T14:42:00","guid":{"rendered":"https:\/\/dev.pgmtechnology.it\/?p=1899"},"modified":"2023-01-05T13:16:41","modified_gmt":"2023-01-05T12:16:41","slug":"le-nuove-linee-guida-delledpb-tra-puntuali-chiarimenti-ed-efficaci-esemplificazioni","status":"publish","type":"post","link":"https:\/\/www.leexe.it\/en\/le-nuove-linee-guida-delledpb-tra-puntuali-chiarimenti-ed-efficaci-esemplificazioni\/","title":{"rendered":"Le nuove linee guida dell\u2019EDPB tra puntuali chiarimenti ed efficaci esemplificazioni"},"content":{"rendered":"\n

Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) \u2013  organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorit\u00e0 di controllo \u2013  ha adottato le linee guida<\/a> 7\/2020 lo scorso 21 luglio 2021 all’esito di una consultazione pubblica, fornendo una definizione uniforme non solo di responsabile e titolare del trattamento ma anche del rapporto di contitolarit\u00e0 del trattamento.<\/p>\n\n\n\n

Le nuove Linee Guida sostituiscono le precedenti linee guida del gruppo di lavoro 29 (cosiddetto Working Party 20) del febbraio 2010.<\/p>\n\n\n\n

Le linee guida 7\/2020 sono articolate in due sezioni principali di cui la prima, con riferimento al trattamento dei dati personali, identifica i ruoli di titolare, contitolare, responsabile e terzi\/riceventi, e la seconda descrive le principali implicazioni connesse al trattamento.<\/p>\n\n\n\n

Gli elementi essenziali per la definizione di titolare e di responsabile del trattamento non sono stati sostanzialmente innovati rispetto a quanto previsto nella direttiva 95\/46, ma il lavoro dell’EDPB si pone in un’ottica di chiarezza fornendo in apertura due concetti fondamentali da tenere a mente nell’interpretazione dei ruoli: funzionalit\u00e0 e autonomia.<\/p>\n\n\n\n

Funzionalit\u00e0 nell’intendere il ruolo in relazione alla specifica attivit\u00e0 di trattamento svolta e non in modo assoluto e autonomia nel senso di indipendenza da concetti di titolarit\u00e0 formulati in altre aree del diritto evitando cos\u00ec trasposizioni automatiche che potrebbero risultare fuorvianti.<\/p>\n\n\n\n

Il Titolare del trattamento<\/strong><\/p>\n\n\n\n

Il Comitato ha fornito specifici chiarimenti partendo dal ruolo di Titolare del trattamento e prendendo le mosse dal disposto dell’art. 4 n. 7 GDPR per cui Titolare \u00e8 la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento dei dati personali.<\/p>\n\n\n\n

Il criterio della funzionalit\u00e0 nell’interpretazione dei concetti viene ribadita al punto 12 delle linee guida dove si specifica che l’allocazione dei ruoli non \u00e8 negoziabile tra le parti e l’individuazione del titolare deve avvenire o in base all’effettiva influenza esercitata dal soggetto sul trattamento, oppure desunto da una competenza legale quando il titolare o gli specifici criteri per la sua nomina siano stabiliti dalla legislazione dell’Unione Europea o di uno Stato membro.<\/p>\n\n\n\n

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti pi\u00f9 pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, sono suscettibili di essere definiti anche dal  responsabile del trattamento.<\/p>\n\n\n\n

Con riferimento invece all’elemento soggettivo, \u00e8 confermato che, anche nel caso in cui l’entit\u00e0 titolare del trattamento decida di designare una persona specifica al fine di garantire la compliance con la normativa privacy, questo soggetto non sar\u00e0 il titolare del trattamento che agisce per conto dell’entit\u00e0 che rimarr\u00e0 comunque unico titolare del trattamento.  <\/p>\n\n\n\n

Analogamente non \u00e8 titolare del trattamento un particolare dipartimento o unit\u00e0 organizzativa cui viene conferita dall’entit\u00e0 la responsabilit\u00e0 operativa di assicurare la conformit\u00e0 per certe attivit\u00e0 di trattamento, rispondendo del trattamento concretamente eseguito dal dipartimento o dall’unit\u00e0 l’entit\u00e0.<\/p>\n\n\n\n

Cos\u00ec se un dipendente utilizzasse i dati personali acquisiti nell’esercizio della sua funzione aziendale per i scopi estranei a quelli prefissati dall’azienda\/entit\u00e0 datrice di lavoro sar\u00e0 quest’ultima, in quanto titolare del trattamento, a doversi assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l’informazione dei dipendenti, per garantire il rispetto del GDPR e a rispondere di eventuali trattamenti difformi se non illeciti da parte del dipendente incauto, non istruito, infedele.<\/p>\n\n\n\n

Il Contitolare del trattamento<\/strong><\/p>\n\n\n\n

Il criterio \u201cgenerale\u201d per l’esistenza di una contitolarit\u00e0 del trattamento \u00e8 la partecipazione congiunta di due o pi\u00f9 soggetti alla determinazione delle finalit\u00e0 e delle modalit\u00e0 di un trattamento di dati personali: the why and how.<\/p>\n\n\n\n

Ma non \u00e8 cos\u00ec semplice risultando spesso complesso nella pratica individuare la sottile linea che corre tra titolarit\u00e0 autonoma e contitolarit\u00e0.<\/p>\n\n\n\n

La determinazione congiunta delle finalit\u00e0 e dei mezzi pu\u00f2 avvenire o mediante una decisione comune oppure mediante decisioni convergenti ove le decisioni dei contitolari sono tra loro complementari e necessarie per l’esistenza del trattamento stesso, tale che senza l’uno il trattamento non sarebbe possibile e il trattamento di ciascun contitolare \u00e8 inscindibile e inestricabilmente legato (inexitricably linked) a quello di altro\/i contitolare\/i.<\/p>\n\n\n\n

Torna anche qui la distinzione tra mezzi essenziali e non essenziali dovendo il Contitolare del trattamento necessariamente decidere in ordine ai primi potendo lasciare margine di manovra sui secondi al Responsabile del trattamento.<\/p>\n\n\n\n

Se manca la condivisione della finalit\u00e0 e dei mezzi essenziali non potr\u00e0 esserci contitolarit\u00e0 ma vi saranno, se del caso, rapporti tra autonomi titolari o tra titolare e responsabile, non essendo sufficiente per qualificarsi come finalit\u00e0 del trattamento, e dunque per configurare contitolarit\u00e0, la mera esistenza di un beneficio economico o commerciale comune tra le parti (punti 60 e 66 linee guida).<\/p>\n\n\n\n

Questa ipotesi si verifica ad esempio nel caso di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri.<\/p>\n\n\n\n

Per comprendere se le decisioni possano essere considerate convergenti occorre chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere sia inseparabile o inestricabilmente legato al trattamento dell’altra parte.<\/p>\n\n\n\n

Ai sensi dell’art. 26 GDPR i contitolari del trattamento devono redigere un accordo interno (cd. accordo di contitolarit\u00e0) e nonostante non venga esplicitamente indicata la forma che tale accordo dovrebbe avere (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) l’EDPB raccomanda l’adozione di un atto scritto che vincoli le parti, anche in ossequio al principio di accountability.<\/p>\n\n\n\n

Come specificato dall’EDPB, l’accordo deve contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati (punto 173 linee guida) nonch\u00e9 le decisioni concordate, anche operative, affinch\u00e9 tutte le fasi del trattamento in contitolarit\u00e0 siano compliant rispetto al GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento.<\/p>\n\n\n\n

Il Responsabile del trattamento<\/strong><\/p>\n\n\n\n

Il Responsabile del trattamento, soggetto necessariamente distinto dal Titolare del trattamento, \u00e8 definito all’art. 4 n. 8 del GDPR come la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.<\/p>\n\n\n\n

Anche il ruolo di Responsabile del trattamento, cos\u00ec come per il Titolare, si delinea in base alle attivit\u00e0 concrete tenuto conto di uno specifico contesto: l’EDPB precisa quindi che qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il Responsabile potrebbe determinare autonomamente finalit\u00e0 e mezzi, e sar\u00e0 quindi da considerare quale Titolare del trattamento in questione.<\/p>\n\n\n\n

Per quanto riguarda il rapporto fra Titolare e Responsabile del trattamento l’EDPB ricorda come \u00e8 necessario che il Responsabile presenti \u201cgaranzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato\u201d, suggerendo quindi ai Titolari del trattamento di tenere in considerazione l’affidabilit\u00e0 del fornitore del servizio, le conoscenze specifiche e la possibilit\u00e0 di esercitare un sufficiente grado di controllo sull’attivit\u00e0 svolta dal Responsabile, equiparando tale verifica preliminare ad una valutazione del rischio.<\/p>\n\n\n\n

L’accordo tra il Titolare e il Responsabile deve rispettare i requisiti essenziali di cui all’art. 28 del GDPR e, come suggeriscono le linee guida, adottare clausole standard (par. 7 e 8 art. 28 GDPR) in caso di squilibrio del potere contrattuale fra le due figure non potendo una condizione di questo tipo portare alla cieca accettazione di clausole non conformi alla normativa sulla protezione dei dati.<\/p>\n\n\n\n

Coautore Livia Nardinocchi<\/p>\n","protected":false},"excerpt":{"rendered":"

Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) \u2013  organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorit\u00e0 di controllo \u2013  ha adottato le linee guida 7\/2020 lo scorso 21 luglio 2021 all’esito di una consultazione pubblica, […]<\/p>\n","protected":false},"author":5,"featured_media":3832,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","iawp_total_views":18,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1899","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1899"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1899\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3832"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}