Uno, nessuno e centomila...titolari del trattamento?


Recentemente, vi è un fiorire di ipotesi di contitolarità anche per quelle figure che tipicamente altro non potrebbero che rivestire il ruolo di responsabile del trattamento, al punto che la galassia dei soggetti del GDPR è descritta come una pluralità di titolari autonomi o altrimenti contitolari (anzi: co-titolari, a detta di coloro che vogliono distinguersi per formalismi).

Come si può fare però ad operare una distinzione concreta fra tali soggetti (spesso, professionisti), e poterli così correttamente individuare e definire?

Se titolare è chi decide su mezzi e finalità del trattamento, ciò comporta, al negativo, che il responsabile non decide ma si limita a trattare dati per conto del titolare.

Circa le finalità, è chiaro che se questa è decisa o dal titolare o dalla Legge, non è un elemento particolarmente critico per l'individuazione del responsabile.

Circa i mezzi, occorre invece un ragionamento di più ampio respiro. Come può la scelta di un applicativo, ad esempio, essere una scelta significativa sui mezzi di trattamento?

L’idea di “finalità e mezzi” del trattamento è una sintesi della proposta originaria per cui il titolare deteneva il potere di decidere su finalità, dati personali, operazioni e accessi.

Volendo chiarire il dubbio, si può richiamare un risalente parere dell’art. 29 WP del 16 febbraio 2010 per cui è segnalata l’importanza di analizzare il contesto.
È necessario un approccio pragmatico, che privilegi la discrezionalità nel determinare le finalità e il margine di manovra nell'adozione delle decisioni. In questi casi, la domanda che sorge è perché ha luogo il trattamento e qual è il ruolo delle figure eventualmente implicate, come le società di esternalizzazione: la società esternalizzata avrebbe trattato i dati se il titolare del trattamento non gliel'avesse chiesto, e a quali condizioni? Un responsabile del trattamento potrebbe, poi, seguire gli orientamenti generali dati principalmente sulle finalità senza entrare veramente nei dettagli per quanto riguarda gli strumenti.
In questo contesto, mentre la determinazione della finalità del trattamento farebbe scattare in ogni caso la qualifica di titolare del trattamento, la determinazione dei mezzi implicherebbe una titolarità solo qualora riguardi gli aspetti fondamentali dei mezzi. (…)
In tale ottica, è del tutto possibile che i mezzi tecnici ed organizzativi siano determinati esclusivamente dal responsabile del trattamento.

Essere GDPReady è...chiarezza e distinzione.

Commenti