La Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-40/17 (scarica il testo in calce) sancisce il principio che il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito, anche se non può essere considerato poi responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

Il Regolamento comunitario sulla protezione dei dati personali n. 2016/679 non prevede una disciplina ad hoc per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto a regole generali. IL GDPR, in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati particolari).

Il ricorso all’outsourcing è molto frequente nell’organizzazione di attività di impresa, ma quando ciò implica un flusso di dati personali, occorre che il committente e il fornitore esterno disciplinino i loro rapporti ai sensi della legislazione sulla privacy. Dal 25 maggio 2018 è scattato l’obbligo di stesura di un esteso numero di clausole. Si tratta di un’incombenza particolarmente rigorosa, considerato che l’incompleta o l’inadeguata stesura del contratto con il responsabile esterno del trattamento prevede sanzioni con un massimo edittale di 10 milioni di euro (o, se superiore il 2% del fatturato annuo). Di seguito uno approfondimento sulla figura del Responsabile del trattamento alla luce del GDPR, scritto dall'Avv. Michele Iaselli per Altalex, e la Circolare 3-2018 di Federprivacy, dedicata alle clausole contrattuali tra titolare del trattamento e responsabile esterno del trattamento.