Nella 37esima sessione plenaria, l’European Data Protection Board (EDPB) ha emanato due importanti linee guida sui concetti di titolare e responsabile del trattamento e sul targeting degli utenti sui social media.
Entrambi i documenti, in consultazione pubblica fino al 19 ottobre 2020, si aggiungono così al corposo lavoro interpretativo che l’EDPB sta compiendo fin dalla sua costituzione. In linea con le precedenti pubblicazioni emanate dal Board, le due linee guida si presentano caratterizzate da vari scenari-tipo che permetteranno alle imprese e agli addetti ai lavori, ma anche agli stessi interessati, di avere una maggior cognizione dell’applicabilità dei principi del GDPR ai casi di specie.
In relazione ai concetti di titolare e responsabile, le linee guida pubblicate riprendono la struttura del documento già prodotto dal Working Party 29 nel 2010 (WP169), soffermandosi con maggior attenzione sulla nuova figura del contitolare del trattamento e fornendo ulteriori elementi sul rapporto che intercorre tra titolare e responsabile nei trattamenti di dati personali. Il Board ribadisce inoltre come l’atto giuridico che disciplina il rapporto tra titolare e responsabile non debba essere una mera riproposizione degli articoli del GDPR, bensì debba prevedere specifiche e puntuali previsioni per ogni singolo rapporto instaurato.
Dall’altro lato, le linee guida pubblicate sul targeting degli utenti sui social media hanno invece lo scopo di chiarire gli aspetti che regolano il trattamento di dati effettuato dai provider di social network nei confronti delle persone interessate, con particolare riguardo anche agli operatori che utilizzano i social network per finalità pubblicitarie. In sintesi, le linee guida si concentrano sulle molteplici modalità di targeting presenti all’interno dei social network, prevedendo una maggiore attenzione per il trattamento di categorie particolari di dati.
La 37esima sessione plenaria è stata anche il momento per il Board di istituire una vera e propria task force a seguito della nota sentenza Schrems II; la task force avrà il difficile compito di aiutare gli operatori del mercato ad individuare le misure adeguate per i trasferimenti di dati personali in paesi extra UE.