EntiOnLine
Categorie
indietro
05/10/2021 GDPR-DPO ENTIONLINE: Chi sono i titolari autonomi? Va prevista la stipulazione di un contratto con i titolari autonomi?

Con riferimento alla figura dei titolari autonomi del trattamento si chiede:
1.di fornire indicazioni, anche con esempi pratici, in relazione alla fattispecie della titolarita' autonoma del trattamento dati;
2.di precisare se, anche per il titolare autonomo, e' prevista la stipulazione di un contratto per la definizione dei reciproci obblighi e finalita' del trattamento dei dati in comune.

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Per il titolare autonomo, NON e' prevista la stipulazione di un contratto per la definizione dei reciproci obblighi e finalita' del trattamento dei dati in comune. Nei confronti del titolare autonomo va svolta, in un’ottica di accountability (ai sensi dell'art. 25 del Regolamento), soltanto l'attività necessaria per garantire che il titolare autonomo tratti i dati con adeguate misure di sicurezza e di protezione. Il titolare DEVE, per contro, mettere in atto tutte le misure adeguate ad assicurare che, effettivamente, il titolare autonomo protegga i dati. Costituisce misura da adottare nei confronti del titolare autonomo,ad esempio, l'inserimento, in sede procedure di affidamento, di clausole volte a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali. A tal fine costituisce adeguata attività la diffusione di una Circolare che richiami l'attenzione sull'importanza dell'inserimento di tali clausole nei bandi. Sulla base delle indicazioni del Garante sono da considerare TITOLARI AUTONOMI, ad esepio:

  • il Medico competente
  • la Società di assicurazione
  • la Tesoreria
  • il Notaio
  • l'Avvocato

MOTIVAZIONI
Le motivazioni del parere sono di seguito indicate.

Il Regolamento (UE) 679/2016, quanto alla individuazione dei ruoli di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, si pone in linea di continuità con quanto già prefigurato nella Direttiva 95/46/CE.

Infatti, non diversamente da quanto previsto dall’art. 2, lett. d) della citata Direttiva, l’art. 4, n. 7 del Regolamento definisce “«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

In relazione alle definizioni sopra riportate, pertanto, il Titolare è il soggetto sul quale ricadono le decisioni relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, nonché, una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.

Diversamente, il ruolo del Responsabile, è caratterizzato dallo svolgimento di attività delegate dal Titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.
Dal quadro normativo in precedenza delineato si ricava, nel merito, quanto segue.

Il rapporto tra l'Ente (titolare) e il soggetto esterno, non può configurarsi nei termini di Responsabile del trattamento quando:

  • l’esercizio dell’attività del soggetto esterno, non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del titolare che affida tale servizio, sulla base del fatto che, la stessa, può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore.

In altri termini, i TITOLARI AUTONOMI:

  • non pongono in essere un trattamento di dati “per conto” dell’Ente.

Sul punto, può essere richiamato, il parere del Garante, relativo al ruolo delle compagnie assicurative, che ha stabilito che l’Ente aggiudicante e la compagnia/società perseguono interessi separati e distinti, che impediscono, alla compagnia/società medesima, di porre in essere un trattamento di dati “per conto” dell’Ente aggiudicante. Il Garante ha, altresì, specificato che, la compagnia/società deve agire nel pieno rispetto della disciplina in materia di protezione dei dati personali, soprattutto laddove l’interlocuzione preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, ed è legittimata ad utilizzare i dati acquisiti solo per le finalità previste dal contratto.

Il Responsabile del Servizio Protezione Dati Personali (RPD)

Banca dati