Il regolamento europeo in materia di protezione dei dati personali da una definizione di destinatario dei dati personali.
In base all'art. 4, par. 1, n. 9 del regolamento europeo, il destinatario è "la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento".
Destinatari sono, quindi, tutti i soggetti che ricevono dati personali dal titolare, siano essi interni od esterni, e che entrano in possesso di tali dati per necessità operative o per obblighi normativi. Come ad esempio una compagnia assicurativa oppure l'Agenzia delle Entrate.
A tal proposito la casistica è molto ampia, i destinatari possono essere:
- altri titolari (titolari congiunti o autonomi);
- responsabili del trattamento;
- autorizzati al trattamento o amministratori di sistema;
- professionisti o consulenti;
- enti o aziende esterne.
In tutti questi casi il titolare deve opportunamente identificare il ruolo del destinatario. I destinatari possono ricevere tali dati per eseguire trattamenti per conto del titolare (nel qual caso generalmente sono responsabili), o per conseguire proprie specifiche finalità (per cui generalmente assumono il ruolo di titolare autonomo). Ovviamente i destinatari devono essere definiti in fase di raccolta dei dati ed indicati nell'informativa rivolta all'interessato, anche solo per categorie. Vanno inoltre indicati anche nel registro dei trattamenti.
Inoltre, se l'interessato esercita il diritto di accesso ai sensi dell'art. 15 del GDPR, il titolare non può più limitarsi ad indicare i destintari in maniera generica, per categorie, ma deve indicarli specificamente. Questo è quanto ha statuito la Corte di Giustizia europea con la sentenza del 12 gennaio 2023.
Se il destinatario risiede al di fuori del territorio dell'Unione europea siamo in presenza di un trasferimento di dati al di fuori dell'Unione europea, e quindi occorre che il titolare verifichi l'esistenza di specifiche garanzie per la protezione dei dati, prima di trasferirli.