NEWS

La Circolare 5-2021 sulla corretta qualificazione dei soggetti esterni ‘destinatari’ dei dati personali

La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità. 

Atto di nomina di un responsabile del trattamento ex art.28 del GDPR

Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi: la corretta valutazione del ruolo assunto o comunque ricoperto dai soggetti esterni che a vario titolo hanno rapporti contrattuali/convenzionali con il titolare intervenendo nelle attività di trattamento e la loro corretta qualificazione sono elementi fondanti della legittimità del trattamento di comunicazione effettuato, della relativa allocazione delle responsabilità, dell’adozione delle misure tecniche e organizzative adeguate, della predisposizione del set documentale e procedurale a corredo, nonché garanzia dell’effettivo esercizio dei diritti degli interessati, quindi, in ultima analisi, dell’accountability del titolare.

A tale proposito, il Regolamento europeo definisce all’art. 4 punto 9 il “destinatario” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.” e al successivo punto dello stesso articolo il “terzo” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.


La corretta qualificazione dei soggetti esterni “destinatari” dei dati personali quale espressione di accountability: criticità e nuovi spunti

Si tratta dunque dell’ampia categoria di soggetti, interni o esterni all’organizzazione, a vario titolo destinatari della comunicazione di dati personali, che devono essere correttamente qualificati in funzione del ruolo effettivamente assunto nel contesto delle attività di trattamento di cui si tratta.

Tuttavia, con particolare riguardo ai soggetti esterni, a ormai tre anni dalla piena applicazione del Regolamento, questo processo di valutazione e qualificazione incontra ancora non poche difficoltà, in parte dovute all’oggettiva difficoltà di interpretare situazioni complesse, in parte causate da formalismo o eccessivo determinismo che mal si conciliano con la richiesta di attenzione alla sostanza ed effettività che caratterizza il Regolamento europeo.

L’analisi svolta riprende la classificazione dei ruoli previsti dall’attuale impianto normativo, la attualizza e la arricchisce con ulteriori elementi di valutazione tratti in particolare dalle Linee Guida 07/2020 pubblicate dall’European Data Protection Board e dai più recenti interventi delle Autorità Garanti in materia, con particolare riferimento all’Autorità nazionale, attinenti il processo di qualificazione e classificazione dei ruoli soggettivi assunti dai diversi attori che partecipano al trattamento dei dati personali. (Per approfondimenti, vedasi la Circolare N.5-2021 di Federprivacy "La corretta qualificazione dei soggetti esterni «destinatari» dei dati personali")

In conclusione, tuttavia, pur riconoscendo l’arricchito bagaglio di fonti interpretative cui attingere, risulta innegabile il permanere di alcuni elementi di incertezza emersi anche in alcuni casi concreti oggetto di valutazione: si confida però che le analisi svolte case by case e la loro documentabilità si configurino di per se stesse quale elemento di accountability.

Note Autore

Laura Di Liddo Laura Di Liddo

Data Protection Officer, Consulente Privacy e Formatore. Socio membro di Federprivacy e Privacy Officer certificato TÜV Italia.

Prev Modelli organizzativi, gli spunti di integrazione tra Dlgs 231/2001 e Gdpr al webinar di Federprivacy
Next Certificazione di Privacy Officer, per ottenerla prima della pausa estiva corso a luglio oppure pre-esame per dimostrare l’idoneità

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy