NEWS

La società di servizi di conservazione dei dati è un responsabile esterno del trattamento

La società di servizi di conservazione dei dati è un responsabile esterno del trattamento. Questo vale per la società che ospita le informazioni sui dipendenti di una azienda. È questa una delle risposte fornite dalle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr», diffuse in pubblica consultazione dal Comitato europeo per la protezione dei dati personali (siglabile con l'acronimo inglese «Edpb»), che riunisce tutti i garanti europei della privacy.

La società che gestisce una banca dati in outsourcing è un responsabile del trattamento ai fini del Gdpr

Ma passiamo a una panoramica dei casi che riguardano la gestione del personale.

Titolari autonomi utilizzatori di un'infrastruttura condivisa. La società XYZ ha un database e lo rende disponibile ad altre aziende per elaborare e ospitare i dati personali relativi ai propri dipendenti.

L'azienda XYZ è un responsabile del trattamento in relazione all'elaborazione e all'immagazzinamento dei dipendenti di altre società in quanto tali operazioni vengono eseguite per conto e secondo le istruzioni di queste altre società.

Inoltre, le altre società elaborano i dati senza alcun coinvolgimento da parte dell'azienda XYZ e per scopi che non sono in alcun modo condivisi dalla società XYZ.

Trasmissione dei dati dei dipendenti alle autorità fiscali. Una società raccoglie ed elabora i dati personali dei propri dipendenti allo scopo di gestire stipendi, assicurazioni sanitarie, ecc.

Una legge impone all'azienda l'obbligo di inviare tutti i dati relativi agli stipendi alle autorità fiscali, al fine di rafforzare il controllo fiscale.

In questo caso, anche se sia la società che le autorità fiscali elaborano gli stessi dati relativi agli stipendi, la mancanza di scopi e mezzi determinati congiuntamente per quanto riguarda questo trattamento dei dati comporterà la qualificazione delle due entità come due autonomi titolari di trattamento.

Gruppi di società : società capogruppo e società controllate. Le società X e Y fanno parte del Gruppo Z. Le società X e Y elaborano entrambi i dati relativi ai rispettivi dipendenti ai fini dell'amministrazione dei dipendenti.

A un certo punto, la società capogruppo decide di richiedere i dati dei dipendenti da tutte le controllate al fine di produrre statistiche a livello di gruppo. A proposito della comunicazione a Z di dati dalle società controllate X e Y, la capogruppo deve essere considerata come una terza parte, indipendentemente dal fatto che tutte le società fanno parte dello stesso gruppo.

L'azienda sarà considerata come titolare del trattamento di dati a fini statistici.

Ricerca di personale. La società X aiuta l'azienda Y a reclutare nuovo personale, con il proprio applicativo «A».

La società X cerca candidati idonei sia tra i CV ricevuti direttamente dalla società Y che tra quelli che ha già nel proprio database. Tale database viene creato e gestito autonomamente dalla società X. Ciò garantisce che l'azienda X migliori l'abbinamento tra offerte di lavoro e persone in cerca di lavoro, aumentando così i propri ricavi. Anche se non hanno formalmente preso una decisione insieme, le aziende X e Y partecipano congiuntamente all'elaborazione allo scopo di trovare candidati idonei sulla base di decisioni convergenti: la decisione di creare e gestire l'applicativo A per la società X e la decisione della società Y di arricchire il database con i CV che riceve direttamente. Tali decisioni si completano a vicenda, sono inseparabili e necessarie per l'elaborazione della ricerca di candidati idonei.

Pertanto, in questo caso particolare essi dovrebbero essere considerati come contitolari di tale trattamento. Tuttavia, la società X è l'unica titolare del trattamento necessario per gestire la propria banca dati e la società Y è l'unico titolare del successivo trattamento di assunzione per il proprio scopo (organizzazione di interviste, conclusione del contratto e gestione dei dati del personale).

di Antonio Ciccia Messina (Italia Oggi Sette del 21 settembre 2020)

Note Autore

FederPrivacy FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Call center e mailing list condivisa, contitolarità non scontata
Next Non viola la privacy comunicare i dati dell'automobilista alla società esterna che consegna le multe

Privacy Day Forum 2023: i momenti salienti

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy