Si segnala un estratto molto interessante, fornito dalle Linee Guida emanate dell’European Data Protection Supervisor (Regolamento (UE) 2018/1725 applicabile alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione europea), utile per capire se un’azienda alla quale viene affidato un incarico è effettivamente un data processor (Responsabile del Trattamento).
Nello specifico viene proposta una interessante check list che permette di identificare gli elementi più rilevanti in base ai quali un’azienda può essere identificata come processore dei dati (Responsabile del Trattamento). Se la maggior parte delle risposte alle domande è affermativa, è probabile che l’azienda sia il responsabile del trattamento, anche solo di una serie specifica di operazioni di elaborazione.
• You have decided to process personal data or caused that another entity processes it.
• You decided what purpose or outcome the processing operation needs to have.
• You decided on the essential elements of the processing operation, i.e. what personal data should be collected, about which individuals, the data retention period, who has access to the data, recipients etc.
• The data subjects of your processing operations are your employees.
• You exercise professional judgement in the processing of the personal data.
• You have a direct relationship with the data subjects.
• You have autonomy and independence (within the tasks assigned to you as a public institution) as to how the personal data is processed.
• You have appointed a processor to carry out processing activities on your behalf, even if the entity chosen for that purpose implements specific technical and organisational means (non-essential elements).
In sintesi:
Hai deciso quali sono i dati da trattare o hai indotto un altro soggetto a trattarli
Hai deciso quale scopo o risultato deve avere l’operazione di trattamento
Hai deciso gli elementi essenziali del trattamento, ovvero quali dati personali dovrebbero essere raccolti, su quali soggetti, il periodo di conservazione dei dati, chi ha accesso ai dati, i destinatari ecc.
Hai definito gli elementi essenziali delle operazioni di trattamento
I dati che tratti riguardano soprattutto i tuoi dipendenti
Eserciti un giudizio sul trattamento dei dati personali
Hai un rapporto diretto con i destinatari del trattamento o è mediato
Hai autonomia e indipendenza o terzi decidono al posto tuo
È stato nominato un responsabile del trattamento per svolgere attività di elaborazione per proprio conto, anche se l’entità scelta a tale scopo implementa specifici mezzi tecnici e organizzativi (elementi non essenziali)?
Interessante anche questo estratto:
“However, when a processor acts beyond the mandate by infringing the contract or another legal act or making decisions about the purpose and the essential elements of the means of a specific processing operation, it may qualify as a controller (or a joint controller).”
Quando agisci oltre il mandato!!!! Se stabilisci quali dati trattare, i tempi di conservazione, con che strumenti effettuare il trattamento, allora si cessa di essere responsabile e si diventa titolare autonomo del trattamento.
