GDPR: linee guida sui concetti di titolare e responsabile
Ci troviamo davanti alla pubblicazione di linee guida che hanno avuto una lunga evoluzione, in quanto la prima bozza venne presentata nel lontano luglio 2020. D’altro canto, questo documento ha un’importanza fondamentale, perché offre preziose indicazioni sulle modalità con cui i titolari devono stabilire rapporti di lavoro, anche sostenuti da contratti, con i responsabili del trattamento, che hanno un ruolo importantissimo nella gestione quotidiana della sicurezza dei dati.
Il documento è stato pubblicato dopo una pubblica consultazione e quindi gode della autorevole approvazione di tutti i soggetti coinvolti.
Il documento prende considerazione diverse tipologie di rapporto contrattuale e dischi distribuzione di responsabilità vale a dire:
- si definisce innanzitutto chi sia il titolare del trattamento,
- successivamente si passa a definire il ruolo di titolari congiunti del trattamento, dando indicazioni sulla distribuzione di responsabilità, con riferimento a un trattamento unico per entrambi i titolari,
- si passa quindi ad illustrare la funzione del responsabile del trattamento,
- essa viene seguita dalla illustrazione del rapporto che deve essere stipulato fra il titolare e il responsabile;
- poiché spesso non vi è un solo responsabile, occorre, nell’ultima parte del documento, illustrare le modalità con cui due o più responsabili possono operare sugli stessi dati personali.
Il documento è piuttosto articolato, in quanto è composto di ben 48 pagine.
Dopo una doverosa introduzione, il documento passa ad illustrare in dettaglio quali siano il ruolo e le responsabilità del titolare.
Quando esistono più titolari è evidente che occorre stabilire contrattualmente la ripartizione di responsabilità, definendo anche situazioni potenzialmente poco chiare, che potrebbero crearsi quando i rapporti fra i due contitolari non sono correttamente definiti.
Si passa quindi a illustrare il rapporto che deve essere stabilito fra il titolare ed i responsabili, sia mediante la stipula di un rapporto contrattuale, sia mediante altra forma di attribuzione di compiti e responsabilità.
Il documento si dilunga sulle responsabilità del responsabile, che non sono solo legate all’esecuzione degli ordini impartiti dal titolare, ma prevedono anche una costruttiva cooperazione.
Un paragrafo specifico è dedicato alla situazione, non insolita, in cui il titolare decide di interrompere la relazione contrattuale con il responsabile.
Un paragrafo è anche dedicato alle modalità con cui tenere sotto controllo eventuali sub responsabili, che potrebbero essere coinvolti nel trattamento di dati personali.
Quando i responsabili del trattamento, designati dal titolare, sono più di uno, in 5 o 6 pagine il documento illustra le modalità trasparenti, con cui devono essere distribuite le relative responsabilità, ivi incluse le responsabilità nei confronti degli interessati al trattamento e delle autorità garanti nazionali.
È un documento preziosissimo, alla luce del quale raccomando caldamente di rivedere qualsiasi documento contrattuale sia stato già stipulato in precedenza tra i soggetti illustrati.
Linee Guida 07/2020 (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.