È stata una sessione ricca di spunti ed importanti indicazioni quella tenuta dal Comitato Europeo per la Protezione dei Dati lo scorso 2 settembre. Sul tavolo dell’EDPB sono infatti finiti numerosi temi di rilevanza fondamentale nell’applicazione pratica della data protection. Sull’onda lunga della Sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea – a seguito della quale è venuto meno lo “Scudo Privacy” a garanzia dei trasferimenti di dati personali verso gli Stati Uniti – e a fronte dei numerosi reclami pervenuti alle Autorità Nazionali, il Board ha deciso di dar vita ad una task force dedicata, col compito di dare risposta alle numerose incertezze venutesi a creare dopo la decisione della CGUE. Con l’ormai nota sentenza C-311/18 del 16 luglio scorso, la Corte ha dichiarato l’invalidità del c.d. “Privacy Shield”, oltre ad avanzare perplessità riguardo a potenziali garanzie alternative (su tutte, le Clausole Contrattuali Standard) in tema trasferimenti di dati verso gli USA. Si sono così determinate non poche problematiche nei rapporti tra titolari del trattamento europei e i numerosi service provider d’Oltreoceano: l’inapplicabilità di garanzie al trasferimento dei dati personali si traduce, nella lettera del GDPR, in una impossibilità di effettuare il trasferimento stesso; in altri termini, senza garanzie si dovrebbe procedere all’interruzione della fornitura di servizi aventi ad oggetto tali dati. Interruzione che, nella stragrande maggioranza dei casi, vorrebbe dire cessazione di rapporti commerciali spesso vitali per il business aziendale, alla luce dei soggetti coinvolti – basti pensare a Google o Microsoft. L’auspicio è che la task force riesca a fornire risposte concrete, andando oltre a quelle puramente teoriche proposte finora dall’EDPB. Quel che per ora è un dato certo, confermato anche dal Board, è la necessità di procedere ad una revisione ed analisi “caso per caso” dei rapporti con fornitori statunitensi, al fine di poter considerare in maniera globale e consapevole le garanzie più idonee per i trasferimenti di dati personali. Il Comitato ha poi rilasciato il testo delle nuove Linee Guida sui concetti di titolare e responsabile del trattamento. Si tratta di un intervento molto atteso, considerando il decennio intercorso dalle precedenti Linee Guida in materia e l’entrata in vigore del GDPR, ormai vecchio di due anni. Il documento, in consultazione pubblica fino al 19 ottobre prossimo, fissa importanti criteri per la determinazione dei ruoli di titolari, responsabili e contitolari, fornendo utili esempi pratici e flow charts. In linea generale: 

• Il Titolare del trattamento è sempre il soggetto che determina gli elementi fondamentali del trattamento, il “perché” ed il “come”, secondo quanto suggerito dall’EDPB. Il controllo del Titolare del trattamento deve essere sempre effettivo – è il titolare, ad es., a scegliere quali categorie di dati e di interessati siano oggetto del trattamento, o la durata di questo – ma non necessariamente esteso a tutti gli aspetti del trattamento: si parla infatti di “mezzi non essenziali” – si veda ad es. il dettaglio delle misure di sicurezza – che possono essere delegati al responsabile del trattamento, senza che ciò infici la titolarità; 
• Il Responsabile del trattamento è colui che agisce “per conto” del titolare del trattamento, e soprattutto, come rimarcato più volte nelle Linee Guida, su istruzioni documentate del secondo. Rispetto al responsabile diviene fondamentale definirne il margine di discrezionalità; 
• Infine, l’EDPB prospetta un potenziale ampliamento del concetto di “contitolarità”, dal momento che tale ipotesi sarà individuabile non solo nel caso di decisione congiunta, da parte dei titolari coinvolti, circa le modalità e finalità di un singolo trattamento, ma anche nel caso di “decisioni convergenti e complementari” che questi possano prendere. In altre parole, perché si abbia contitolarità non deve sussistere necessariamente una situazione di piena eguaglianza e parallelismo tra le attività condotte dal singolo contitolare, quanto piuttosto una compartecipazione effettiva nel complesso del trattamento.   

Le Linee Guida si soffermano poi su fondamentali questioni di merito, circa la corretta individuazione dei contenuti dei Data Processing Agreement tra titolari e responsabili, ai sensi dell’art. 28 GDPR, e degli Accordi di contitolarità ex art. 26 del Regolamento. La rilevanza pratica di questo intervento del Board è indubbia: i rapporti titolari-responsabili e le ipotesi di contitolarità sono variabili soprattutto contrattuali che troppo spesso vengono sottovalutati o addirittura non considerati, ma la cui individuazione è invece fondamentale per una piena conformità al GDPR, oltre che per una corretta ripartizione dei diritti ed obblighi derivanti da ciascun ruolo. 

Sempre in questa sede, il Board ha poi pubblicato le Linee Guida relative al “social targeting”, ovvero l’attività dei c.d. “targeter”, fornitori di servizi che utilizzano i dati personali degli utenti dei social media per promuovere campagne marketing focalizzate su determinati contenuti. Il Comitato ha analizzato in maniera approfondita il ruolo dei soggetti coinvolti, in particolare targeter e social network, che risulterebbero contitolari dei dati personali trattati. A fronte dei rilevanti rischi per gli interessati – si pensi al fatto che i dati personali possono essere anche acquisiti dal social network valutando il comportamento dell’utente –una valutazione d’impatto ai sensi dell’art. 35 GDPR è da considerare fortemente raccomandata ai contitolari. Infine, altra puntuale indicazione fornita dall’EDPB è quella relativa alla base legale del trattamento, nello specifico il consenso dell’interessato o, previa opportuna valutazione, il legittimo interesse dei contitolari. Importanti indicazioni, dunque, in relazione a tematiche in cui risultava sempre più impellente la necessità di indicazioni organiche, come testimoniato dalle numerose pronunce in materia da parte della Corte di Giustizia Europea (su tutte, la celebre sentenza “Fashion ID” del 2019). Anche le Linee Guida sul social targeting sono in consultazione pubblica fino al termine del 19 ottobre prossimo.