E’ abbastanza chiaro a tutti ormai che il titolare del trattamento, ai sensi del Regolamento n. 679/2016 (art. 4 n. 7 e 24 Regolamento n. 679/2016) è chi, persona fisica o giuridica, tratta dati personali decidendone le finalità e le modalità di trattamento, come è abbastanza chiaro che chi tratta dati personali per conto di qualcun altro è un responsabile del trattamento (art. 4 n. 8 e 28 del Regolamento n. 679/2016). Questo in via generale, poi vi sono i casi particolari dove stabilire con esattezza i ruoli nel contesto del GDPR diventa problematico e questo perché spesso accade che un titolare può anche ricoprire ruoli di responsabile per alcuni trattamenti nei confronti di terzi, per via dei servizi che svolge in loro favore.
Così si possono verificare casi, certi, in cui un’azienda o uno studio professionale, relativamente ai dati di propri clienti e dipendenti, assuma il ruolo di titolare del trattamento; tuttavia, in base alla tipologia di servizio che tale titolare del trattamento compie, può trovarsi a trattare i dati personali di clienti dei suoi clienti o di dipendenti dei suoi clienti; è in queste circostanze che diventa importante capire se resta comunque un titolare del trattamento oppure se per questi trattamenti di dati personali, la sua posizione cambia divenendo anche un responsabile del trattamento.
In base alle nuove norme europee è fondamentale comprendere il ruolo assunto da un’organizzazione o da un professionista relativamente ai trattamenti di dati personali compiuti, in quanto da ciò derivano comportamenti diversi da adottare, come anche un livello differente di responsabilità.
Non è sempre facile individuare titolare e responsabile, anche perché il Regolamento n. 679/2016 non offre regole precise che consentano di determinare facilmente dove si colloca un soggetto giuridico rispetto ad un altro nel contesto del trattamento ...