New Guidelines of the European Data Protection Board no.7/2020 on the Notions of Data Controller and Data Processor

  • Posted By Pierangela Rodilosso
  • |
  • 13 October 2020
  • |
  • 0 comments
New Guidelines of the European Data Protection Board no.7/2020 on the Notions of Data Controller and Data Processor

Sharing is caring!

On 2 September 2020, the European Data Protection Committee adopted the new Guidelines aimed at clarifying the definition of the concepts of Data Controller and Data Processor and their respective functions. The Guidelines are currently subject to public consultation until 19 October 2020.

The document analyses the definitions and roles of Data Controller, Data Processor and Data Controllers and the distribution of their respective responsibilities.

In the first part of the Guidelines, the Committee has clarified the meaning of the elements characterising the definition of Data Controller, i.e.: a) “the natural or legal person, public authority, agency or other body”, b) “determines”, c) “alone or jointly with others”, d) “the purposes and means”, e) “the processing of personal data”.

As regards the figure of the Controller, the Committee has made it clear that, in principle, there are no limitations as to the type of entity that may take on this role: it may be a natural person, an association of persons or a legal person. If within the legal person, a natural person is appointed for Data Protection compliance activities, the latter will act on behalf of the legal person, which – as Data Controller – will remain liable in the event of a breach of the privacy rules.

The verb “determines”, the Committee has clarified, refers to the decisional power of the Data Controller and, therefore, to the influence that the Data Controller exercises on the processing of data, deriving both from legal provisions and from the actual situation. The determination by the Data Controller concerns not only the purposes but also the methods by which the processing is carried out.

With regard to the phrase “alone or jointly with others”, the Committee has specified that it refers to the case in which several entities act as Data Controller of the same data processing (so-called “co-ownership”).

It is also necessary to focus on the determination of the “purposes and means” of the processing, a substantial element of the concept of Data Controller: this phrase refers to the decision on the “why” and “how” of the processing. Therefore, the Controller must not only determine the purpose of the processing but must also determine the modalities of the processing.

Finally, the purposes and means of processing determined by the Data Controller must refer to “processing of personal data”, understood as “any operation or set of operations performed on personal data or on sets of personal data”.

As regards the figure of the Data Processor, the Committee has specified that he or she must be a person separate from the Data Controller and must carry out the processing on behalf of the latter, acting in his or her interest.

For further details, please refer to the attached document.

****

NUOVE LINEE GUIDA DEL COMITATO EUROPEO PER LA PROTEZIONE DEI DATI N.7/2020 SUI CONCETTI DI TITOLARE E RESPONSABILE DEL TRATTAMENTO

In data 2 settembre 2020 il Comitato Europeo per la Protezione dei Dati ha adottato le nuove Linee Guida volte a chiarire la definizione dei concetti di Titolare e Responsabile del trattamento e le rispettive funzioni. Le Linee Guida sono attualmente oggetto di consultazione pubblica fino al 19 ottobre 2020.

Il documento analizza le definizioni e i ruoli di Titolare, Responsabile e Contitolari del trattamento e la ripartizione delle rispettive responsabilità.

Nella prima parte delle Linee Guida, il Comitato ha chiarito il significato degli elementi caratterizzanti la definizione di Titolare del trattamento, ovvero: a) “la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo”, b) “determina”, c) “da sola o congiuntamente ad altri”, d) “le finalità e i mezzi”, e) “del trattamento dei dati personali”.

Per quanto riguarda la figura del Titolare del trattamento, il Comitato ha chiarito che, in linea di principio, non vi sono limitazioni circa il tipo di entità che può assumere tale ruolo: esso, infatti, può essere assunto da una persona fisica, da un’associazione di persone o da una persona giuridica. Nel caso in cui, nell’ambito della persona giuridica, venga incaricata una persona fisica per l’attività di Data Protection compliance, quest’ultima agirà in nome della persona giuridica, che – in qualità di Titolare del trattamento – rimarrà responsabile in caso di violazione delle norme sulla privacy.

Il verbo “determina”, ha chiarito il Comitato, fa riferimento al potere decisionale del Titolare e, quindi, all’influenza che il Titolare esercita sul trattamento dei dati, derivante sia da disposizioni di legge che dalla concreta situazione di fatto. La determinazione da parte del Titolare ha ad oggetto non soltanto le finalità, ma anche le modalità attraverso le quali avviene il trattamento.

Quanto alla locuzione “da sola o congiuntamente ad altri”, il Comitato ha precisato che si riferisce all’ipotesi in cui diverse entità agiscano come Titolari del medesimo trattamento di dati (c.d. “contitolarità”).

Occorre, altresì, soffermarsi sulla determinazione delle “finalità e i mezzi” del trattamento, elemento sostanziale del concetto di Titolare: tale locuzione si riferisce alla decisione sul “perché” e sul “come” del trattamento. Pertanto, il Titolare non deve limitarsi a stabilire unicamente lo scopo del trattamento, ma deve determinare anche le modalità dello stesso.

Infine, le finalità e i mezzi del trattamento determinati dal Titolare devono riferirsi al “trattamento dei dati personali”, inteso come “qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali”.

Per quanto riguarda la figura del Responsabile del trattamento, il Comitato ha precisato che deve essere un soggetto distinto dal Titolare e deve svolgere il trattamento per conto di quest’ultimo, operando nel suo interesse.

Per ulteriori approfondimenti, è consultabile il documento qui allegato.

Leave a Comment

shares