Uno dei temi principali ma, al contempo, problematici, in materia di applicazione del Regolamento Europeo 679/2016 è, senza dubbio, quello che concerne l’individuazione e la ripartizione dei ruoli privacy.
Difatti, seppure sotto il profilo normativo tali ruoli appaiano tra loro nettamente definiti e facilmente distinguibili, quando vengono trasposti su un piano operativo assumono spesso contorni sfumati, determinando il sorgere di aree di ambiguità.
In queste situazioni diviene estremamente complesso ricondurre, in maniera univoca, i soggetti coinvolti nel trattamento entro le rigide categorie normative.
Questo tema assume ancora più rilevanza laddove la scelta dei ruoli è determinante per la successiva attribuzione degli obblighi, adempimenti e responsabilità, con conseguente rischio, in caso di erronea qualificazione, di incorrere in sanzioni per la violazione della normativa.
Tale difficoltà, tuttavia, non è sfuggita alle autorità europee, tanto che il Comitato Europeo (EDPB), tramite le Linee Guida 7/2020, ha affrontato il tema con l’obiettivo primario di fornire agli operatori dei criteri pratici ed esempi per identificare e distinguere tali ruoli.
Similmente si è mossa la Commissione UE che, con la decisione 915/2021 con cui ha adottato clausole tipo da applicarsi nei rapporti tra titolari e responsabili del trattamento, ne ha contemporaneamente delineato i tratti distintivi.
Sebbene, quindi, tali strumenti abbiano fornito un ulteriore livello di concretezza nella definizione dei confini tra i ruoli privacy, l’ultimo passaggio applicativo rimane comunque in capo ai soggetti che in prima linea, sono coinvolti nell’attività di trattamento.
La soluzione, dunque, deve necessariamente ricondursi al principio dell’accountability e fondarsi su un approccio tailor-made il quale, attraverso la valutazione e l’esame delle variabili del caso concreto, consenta di abbracciarne le specificità e di ricondurle entro i confini definiti dalla norma.
Per informazioni:
Tel.: 0422 916417
E-mail: privacy@unisef.it