L'analisi dell'articolo 4(10) del GDPR rivela che una terza parte è definita come "una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo diverso dall'interessato, dal titolare del trattamento, dal responsabile del trattamento e dalle persone che, sotto la diretta autorità del titolare o del responsabile, sono autorizzate a trattare dati personali" (GDPR, 2016). Questa definizione distingue nettamente le terze parti dai titolari e dai responsabili del trattamento.
Principali distinzioni identificate:
Esempi pratici:
- I plugin dei social media incorporati nei siti web (ad esempio, il pulsante Mi piace di Facebook) agiscono spesso come terze parti, raccogliendo i dati degli utenti per i propri scopi commerciali.
- Le reti pubblicitarie che ricevono informazioni sugli utenti da un editore e le utilizzano per la profilazione e la pubblicità mirata illustrano il trattamento da parte di terzi.
Implicazioni per la conformità:
- Obblighi diversi:
Le terze parti non sono soggette agli stessi obblighi contrattuali dei responsabili del trattamento; devono stabilire la propria base giuridica per il trattamento ai sensi degli articoli 6 e 7 del GDPR.
- Rischio di trattamento illecito:
La condivisione di dati con terze parti senza una chiara base giuridica o un'adeguata trasparenza espone i titolari del trattamento a un significativo rischio normativo [Kuner et al., 2020].
- Requisiti di trasparenza:
I titolari del trattamento devono informare chiaramente gli interessati nelle informative sulla privacy su eventuali trasferimenti a terze parti e sulle loro finalità (Considerando 58 del GDPR).
