Le nuove linee Guida n. 7/2020 in ambito GDPR dell’EDPB
Il 7 luglio 2021 l’European Data Protection Board (EDPB) dopo aver terminato l’iter di consultazione pubblica attivato il 2 settembre 2020, ha emanato le Linee Guida n. 7/2020.
Queste vanno a sostituire sostanzialmente il precedente parere n. 1/2010 (WP 169) con l’obiettivo primario di fornire una guida pratica, ricca anche di esempi pratici, in grado di consentire agli operatori la corretta individuazione e definizione dei ruoli in ambito GDPR, con particolare riferimento al Titolare del trattamento ex art. 4 n. 7 e 24 del Regolamento UE n. 2016/679, al co-Titolare del trattamento (artt. 4 n. 7 e 26), al Responsabile del trattamento (artt. 4 n. 8 e 28).
Si tratta in sostanza dei soggetti attivi del trattamento, che svolgono senza ombra di dubbio un ruolo determinante nell’interpretazione normativa del GDPR, poiché definiscono in concreto il soggetto direttamente responsabile del rispetto delle disposizioni contenute nel regolamento, e di riflesso evidenziano le modalità concrete con cui i soggetti interessati possono esercitare i diritti sanciti nel capo III del GDPR medesimo.
Le Linee Guida esplicano in maniera uniforme quali requisiti debbano possedere le varie figure summenzionate per evitare di incorrere in sanzioni più o meno gravi.
Il Titolare del trattamento, in particolare, che il GDPR individua ne “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, è da individuarsi con riferimento alle funzioni, più che alla forma, tanto che il punto 12 delle Linee Guida impedisce la negoziabilità dell’assegnazione del ruolo.
In generale, le Linee guida adottano un’interpretazione estensiva del ruolo, mantenendo come focus principale la protezione dei dati degli interessati.
Tra gli esempi pratici forniti dall’EDPB in merito all’individuazione del Titolare del trattamento, risulta particolarmente interessante quello relativo alle attività di ricerca di mercato.
In questo campo, come noto, le società che intendono svolgere delle indagini di mercato si rivolgono ad aziende ad hoc, le quali raccolgono i dati della ricerca utilizzando questionari normalmente utilizzati per questi fini e li trasmettono in maniera aggregata alla committente. In caso simile, il Titolare del trattamento è unicamente l’azienda che esegue l’indagine di mercato, non la committente, in quanto questa non entra in contatto con alcun dato particolare, ma solo con le informazioni statistiche e anonime.
Laddove però la committente dovesse fornire istruzioni precise sul tipo di dato da raccogliere, con indicazione anche delle domande, allora dovrà essere considerata questa la Titolare del trattamento, ancorché riceva i dati aggregati, poiché è la committente ad aver avviato e deciso le modalità specifiche di trattamento del dato.
Per quanto riguarda il Contitolare del trattamento, il tratto saliente delle Linee Guida sul punto riguarda la non necessità di accesso ai dati da parte di entrambe le parti coinvolte nel trattamento, poiché anche in questo è posto l’accento sulla definizione delle finalità e dei mezzi del trattamento.
L’esempio più interessante in questo caso riguarda la fornitura di analisi mediche (un campo dove il rapporto con le norme GDPR ha già prodotto interazioni interessanti), in cui sono coinvolti un’azienda fornitrice di app per monitoraggio di pressione sanguigna, una seconda azienda fornitrice di app ad utilizzo di studi medici, e un ospedale, incaricato dalle due aziende di raccogliere dati per il progetto comune di ricerca sugli effetti dei cambiamenti sulla pressione sanguigna sulla prevenzione delle malattie.
Se a ricerca completata tutti i soggetti coinvolti hanno accesso ai dati, allora sono da considerarsi tutti contitolari.
Infine, per quel che riguarda il Responsabile del trattamento, questa qualifica richiede che si tratti di un soggetto diverso dal Titolare del trattamento, per il quale viene effettuato il trattamento da parte del Responsabile.
Sul punto, le nuove Linee Guida intervengono a delineare più precisamente i contorni del rapporto del Responsabile con il Titolare.
In conclusione, le Linee Guida si confermano uno strumento essenziale al fine di poter applicare correttamente le norme sulla privacy, con la quale sono ormai chiamati a confrontarsi e nel contempo adeguarsi una vasta platea di operatori economici e istituzioni.