Il titolare del trattamento dei dati personali

The paper highlights the differences between the ‘data controller’ and the ‘data holder’. The Supreme Court, in Ordinance No. 27189 of 2023, emphasises that the identification of the data controller depends on the actual exercise of decision-making power over the purposes and means of processing, configuring it as a de facto, not de jure, situation. The relationship between main establishments and supervisory authorities in cross-border processing is analysed, highlighting the importance of the level of decision-making autonomy. The ‘data holder’, on the other hand, is configured as a legal position linked to the right to use and dispose of data. Finally, the role of the ‘’ processor‘’ is described as a contractual position, closer to a contract for services than to a contract of mandate. The work offers useful interpretative criteria for managing cross-border processing and outlining specific responsibilities.

Lo scritto esamina il concetto di titolarità nel trattamento dei dati personali secondo il GDPR, distinguendo tra il "titolare del trattamento" e il "titolare dei dati". La Suprema Corte, nell’ordinanza n. 27189 del 2023, sottolinea che l’identificazione del titolare dipende dall’effettivo esercizio del potere decisionale sulle finalità e i mezzi del trattamento, configurandola come situazione di fatto, non di diritto. Viene analizzata la relazione tra stabilimenti principali e autorità di controllo nei trattamenti transfrontalieri, evidenziando l'importanza del livello di autonomia decisionale. Il "titolare dei dati", invece, si configura come una posizione giuridica legata al diritto di utilizzo e disposizione dei dati. Infine, il ruolo del "responsabile del trattamento" è descritto come posizione contrattuale, più vicina a un contratto d’opera che a un mandato. Il lavoro offre criteri interpretativi utili per la gestione dei trattamenti transfrontalieri e per delineare responsabilità specifiche.