GDPR PRIVACY: Titolare e Responsabile del trattamento

Regolamento europeo privacy 2018 il titolare e il responsabile del trattamento

Le principali figure protagoniste del trattamento dei dati personali, previste dal nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation), sono il Titolare de trattamento (o “Data Controller”) e il Responsabile del trattamento (o “Data Processor”).

I due soggetti, sebbene già presenti nella normativa italiana (Direttiva 95/46/CE), sono ben distinti e sono regolamentati in modo diverso nel nuovo regolamento europeo sulla privacy. Cerchiamo di capire quali sono le differenze:

Il Titolare del trattamento

Come il Regolamento Europeo stesso dice,  nelle “Definizioni” dell’articolo 4, il Titolare del trattamento (Data Controller in inglese) è

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“.

Si tratta di una figura già prevista nella normativa della Direttiva 95/46/CE ed è in pratica quel soggetto che dà le indicazioni fondamentali sul trattamento dei dati. Non è, quindi, colui che gestisce i dati, ma è colui che prende le decisioni più importanti in merito, decidendo il perché e il come gestire il trattamento dei dati personali. E’ il proprietario dei dati e coincidendo solitamente con l’impresa.

Il titolare del trattamento può nominare, tramite contratto o atto giuridicamente valido, un responsabile del trattamento, qualora il trattamento debba essere gestito per suo conto da altro soggetto, purché questi sia in grado mettere in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio valutato. I due soggetti insieme redigono il registro delle attività di trattamento.

E’ al titolare del trattamento che l’interessato deve rivolgere le richieste di tutela dei propri diritti.

» In un’azienda privata il titolare del trattamento può essere una persona fisica (ditta individuale) oppure una persona giuridica (società).

» Nelle pubbliche amministrazioni in genere il titolare del trattamento è l’autorità, cioè una persona giuridica.

» Nel caso di gruppi di società, la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta (in tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati).

Quando il trattamento è effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il titolare è l’ente nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.), anziché una delle persone fisiche che prestano lavoro in questa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

Non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997).

Responsabilità principali del titolare

Il titolare, tenuto conto della natura e delle finalità del trattamento dei dati, ha come principale responsabilità quella di

mettere “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento” (articolo 24).

Le misure di sicurezza includono l’attuazione di politiche adeguate in materia di protezione dei dati . Un elemento di novità introdotto dal Regolamento sta nel fatto che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire due nuovi principi fondamentali del Regolamento: la privacy by design e la privacy by default (rispettivamente: garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato e garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento).

Ovviamente il titolare è tenuto alla riservatezza dei dati, intesa come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento. Deve sempre garantire, quindi, che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente. E’ proprio per questa finalità che spetta a lui stabilire le misure adeguate di sicurezza.

Il responsabile del trattamento

Il responsabile del trattamento (Data Processor in inglese) è

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“.

Già prevista nella Direttiva Europea del 1995, sembra abbastanza chiaro che tale figura si configuri in un soggetto esterno all’azienda (e quindi distinto dal titolare del trattamento), solitamente identificabile nei fornitori di servizi. Non a caso il legislatore europeo ha previsto esplicitamente che tra il titolare e il responsabile del trattamento debba stipularsi un contratto di designazione.

Per fare un esempio pratico si pensi alla situazione in cui un’azienda (ossia il titolare del trattamento) affidi la gestione dell’invio di email marketing con i dati dei suoi clienti (ossia gli interessati) ad un’altra azienda (ossia il responsabile del trattamento). A volte poi nello stesso processo possono essere coinvolti più soggetti che prendono il ruolo di responsabile del trattamento (ritornando all’esempio di prima, il caso in cui l’invio delle email marketing sia fatto con un software gestito da una software house esterna, la quale diventa in questo processo anche essa stessa un altro responsabile del trattamento. E così via…).

Questa tipica situazione crea quindi il coinvolgimento di più soggetti giuridici nella gestione dei dati personali degli interessati. Ed è proprio con la consapevolezza di questi processi ormai diffusissimi, che il legislatore ha sottolineato che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” ed è tenuto ad avvisare il titolare qualora ci fosse una modifica o un cambiamento ( riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento) nel caso di autorizzazione scritta generale, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Con questo il legislatore non solo permette la gestione di subappaltatori nominabili responsabili del trattamento, ma impone che il titolare del trattamento debba essere sempre a conoscenza dei soggetti che intervengono nella gestione del suo trattamento dei dati.

Il responsabile del trattamento, che ha un accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

E non solo. E’ possibile definire per contratto le responsabilità affidate ai vari responsabili coinvolti in un processo, indicando chiaramente chi è responsabile di cosa nella gestione delle attività inerenti la privacy.

Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

Responsabilità principali del responsabile

Il responsabile del trattamento ha i seguenti obblighi:

  • trasparenza verso il titolare che gli ha affidato la gestione dei dati personali
  • garanzia della sicurezza dei dati: deve adottare tutte le misure di sicurezza adeguate al rischio (articolo 32), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, dovrà garantire la riservatezza, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento
  • insieme al titolare, adozione di misure tecniche ed organizzative considerando sempre la natura, il campo di applicazione, il contesto e le finalità del trattamento, come anche il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche: ad esempio la pseudonimizzazione e la cifratura dei dati personali;
  • avviso, assistenza e consiglio del titolare: deve consentire e contribuire alle attività di revisione, comprese le ispezioni, effettuate dal titolare del trattamento; dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia; dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati.
  • stesura del registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento e, su richiesta legittima, lo mette a disposizione dell’autorità di controllo
  • informa senza ingiustificato ritardo il titolare del trattamento in caso di data breach
  • insieme al titolare, nomina il DPO, occupandosi dei relativi compiti di gestione e controllo

Il contratto di designazione

Il responsabile del trattamento solitamente è un soggetto esterno all’azienda committente. In tal caso è necessario che tra il titolare e il responsabile venga pattuito un contratto di designazione (“un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri“).

Il titolare del trattamento può nominare più responsabili del trattamento , a seconda delle necessità relative alla gestione dei dati personali che tratta.

L’articolo 28 (“Responsabile del trattamento“) dice appunto che tra il titolare e il rappresentante ci sia “un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento“.

Una volta nominato, il responsabile può nominare altri responsabili di secondo livello (a meno che non sia esplicitamente vietato nel contratto con il titolare). In ogni caso, di fronte al titolare, il responsabile principale risponderà dell’operato degli altri responsabili da lui nominati.

La contitolarità del trattamento

In tema di soggetti, una novità del Regolamento Europeo è la previsione della contitolarità del trattamento. L’articolo 26 infatti prevede che due o più titolari del trattamento

sono contitolari (Joint Controller in inglese) quando determinano congiuntamente le finalità (il perché si condividono gli stessi trattamenti) e i mezzi (il come avvenga questa condivisione) del trattamento.

La contitolarità deve essere stipulata mediante accordo interno tra le parti in modo trasparente, definendo le rispettive responsabilità in merito al rispetto del Regolamento, con particolare riguardo ai diritti esercitabili dagli interessati e all’informativa rilasciata agli stessi.
Tale accordo deve essere messo a disposizione degli interessati, anche se non è esplicitamente richiesto che sia fornito o reso accessibile agli stessi.

Indipendentemente da quanto previsto nell’accordo interno tra i vari contitolari, gli interessati possono esercitare i propri diritti nei confronti e contro ciascun titolare del trattamento.

Infine in caso di contitolarità, ciascun responsabile del trattamento è vincolato al titolare con il quale ha stipulato il contratto di designazione.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!