x

x

Guida III al Regolamento Privacy UE 2016/679. I soggetti interessati al trattamento: titolare, responsabile del trattamento, contitolari

Guida III al Regolamento Privacy UE 2016/679. I soggetti interessati al trattamento: titolare, responsabile del trattamento, contitolari
Guida III al Regolamento Privacy UE 2016/679. I soggetti interessati al trattamento: titolare, responsabile del trattamento, contitolari

1. Introduzione

In questa terza guida al nuovo Regolamento UE 2016/679 (“Regolamento”) sulla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, verranno definiti ed esaminati i soggetti interessati al trattamento dei dati, nonché i loro compiti.

Innanzitutto, prima di analizzare tali figure, ricordiamo le novità introdotte dal Regolamento sul tema affrontato in questa guida:

  • innanzitutto, il nuovo Regolamento prevede la sua applicazione al trattamento dei dati personali di interessati che si trovano nell’UE, effettuato da titolari o responsabili del trattamento non stabiliti nel territorio dell’Unione, sulla base di due differenti criteri: l’offerta di beni o la prestazione di servizi a persone interessate nell’Unione (indipendentemente dal fatto che l’offerta di beni o servizi sia o meno a titolo oneroso) e il monitoraggio del comportamento di tali soggetti all’interno dell’UE;
  • il nuovo Regolamento introduce il principio di responsabilizzazione (accountability) dei titolari e dei responsabili del trattamento dei dati, i quali dovranno dimostrare di aver adottato tutte le misure per proteggere le informazioni personali che gestiscono;
  • inoltre, il nuovo Regolamento introduce la figura del responsabile della protezione dati (“Data Protection Officer o DPO”), un professionista capace di controllare e coordinare, all’interno di un’impresa o di un ente, le politiche di privacy.

 

2. Definizione dei singoli soggetti interessati al trattamento

Sul piano delle definizioni, rispetto alla Direttiva 95/46/CE (“Direttiva”), il Regolamento sostituisce la figura del responsabile del trattamento con il titolare del trattamento, lasciando invariata la relativa nozione, ossia: “persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

L’incaricato del trattamento, nel nuovo Regolamento viene indicato come il responsabile del trattamento e, anche in questo caso, la sua definizione rimane invariata: “persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Tra i soggetti responsabili del trattamento, come già preannunciato, il nuovo Regolamento introduce la figura del “Data Protection Officer”. Di tale figura non si rinviene alcuna definizione nel Regolamento, ma viene comunque disciplinata dall’articolo 37.

Come vedremo nella prossima guida al Regolamento privacy, ai sensi del suddetto articolo, paragrafo 1, il titolare del trattamento e il responsabile del trattamento hanno facoltà e, nei casi di seguito esposti, obbligo di designare un responsabile della protezione dei dati (DPO), incaricato di assicurare la gestione corretta dei dati personali nelle imprese e negli enti.

Il Regolamento, infatti, offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability). I responsabili della protezione dei dati (DPO) saranno, quindi, chiamati a facilitare l’osservanza delle disposizioni del Regolamento.

Altra novità introdotta dal Regolamento privacy è la codificazione della possibilità che vi siano più titolari del trattamento. I contitolari del trattamento non sono definiti dal nuovo Regolamento, ma tali soggetti vengono analizzati all’articolo 26.

 

3 .Il titolare del trattamento e il responsabile del trattamento

Con riguardo al titolare del trattamento, la sua figura viene disciplinata all’articolo 24, Capo IV del Regolamento. Tale soggetto ha il compito di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

Il titolare potrà ricorrere alla figura del responsabile del trattamento (articolo 28, Capo IV del Regolamento) qualora un trattamento debba essere effettuato per suo conto. I responsabili del trattamento dovranno presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

Il titolare del trattamento e il responsabile del trattamento, cooperano, su richiesta, con l’autorità di controllo (vale a dire, in Italia il Garante Privacy) nell’esecuzione dei suoi compiti.

Sul fronte della sicurezza del trattamento dei dati personali, l’articolo 32, Sezione 2, prevede che “il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. In particolare dovranno:

a) avere la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

b) avere la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

c) adottare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il titolare e il responsabile del trattamento dovranno far sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

In caso di violazione dei dati personali (data breach), il titolare del trattamento dovrà notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo. Allo stesso tempo, il responsabile del trattamento dovrà informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione (articolo 33 del Regolamento).

Se la violazione dei dati presenta dei rischi elevati per i diritti e le liberta delle persone fisiche, il titolare del trattamento dovrà comunicare in modo chiaro, semplice e immediato la natura della violazione all’interessato (articolo 34 del Regolamento).

Altro compito del titolare del trattamento è quello di effettuare delle valutazioni di impatto quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, anzi, in tal caso il titolare ha l’obbligo di effettuare tale valutazione, consultando l’autorità di protezione dei dati in caso di dubbi. Le valutazioni d’impatto dovranno riguardare i sistemi e processi delle operazioni di trattamento pertinenti, non singoli casi.

 

4. Il responsabile del trattamento: compiti e responsabilità

Il rapporto tra il titolare e il responsabile del trattamento dovrà essere disciplinato tramite un contratto scritto o altro atto giuridico (stipulato in forma scritta, anche in formato elettronico) a norma del diritto dell’UE o degli Stati membri, che vincoli entrambe le due figure, e dovrà prevedere la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati si riferiscono.

È l’articolo 28, paragrafo 3 del Regolamento, ad elencare in modo dettagliato tutte le prescrizioni che tale contratto dovrà prevedere nei confronti del responsabile del trattamento. Tra cui, ad esempio:

a) il responsabile del trattamento dovrà trattare i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento;

b) dovrà garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza;

c) il responsabile del trattamento dovrà assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.

Il responsabile del trattamento potrà ricorrere a un altro responsabile del trattamento, con previa autorizzazione scritta del titolare del trattamento, per l’esecuzione di specifiche attività di trattamento per conto del titolare. Il secondo responsabile del trattamento dovrà impegnarsi a rispettare, mediante contratto o altro atto giuridico a norma del diritto dell’UE o degli Stati membri, gli stessi obblighi (in materia di protezione dei dati) contenuti nel contratto o in altro atto giuridico a cui è soggetto il primo responsabile del trattamento nei confronti del titolare del trattamento.

Nel caso in cui il secondo responsabile del trattamento ometta di adempiere i propri obblighi, sarà il responsabile iniziale a conservare nei confronti del titolare del trattamento l’intera responsabilità per l’inadempimento degli obblighi dell’altro (secondo) responsabile.

Il Regolamento (articolo 30 paragrafi 1 e 2) prevede che ogni titolare del trattamento e, “ove applicabile”, il suo rappresentante tengano un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro dovrà contenere una serie di informazione, tra cui nome e dati di contatto del titolare del trattamento e contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali, ecc..

Ogni responsabile del trattamento e, “ove applicabile”, il suo rappresentante dovrebbero tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento. Il registro potrà essere messo a disposizione del Garante.

È al paragrafo 5 del suddetto articolo che vengono indicati i casi di “non applicabilità” degli obblighi di cui ai paragrafi 1 e 2 sopra citati. Tali obblighi, quindi, non saranno applicabili “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento”.

Per quanto riguarda la figura del rappresentante del titolare del trattamento, sopra menzionata, dal momento che il Regolamento sarà applicabile anche al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non sono stabiliti nell’Unione (articolo 3, paragrafo 2), in tali casi il titolare o il responsabile del trattamento dovranno designare per iscritto un rappresentante nell’Unione, stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati personali saranno trattati.

Tale rappresentante avrà il ruolo di interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, verso le autorità di controllo e verso gli interessati, per tutte le questioni inerenti il trattamento.

 

5. I contitolari del trattamento

L’articolo 26 del Regolamento disciplina la figura dei contitolari del trattamento, stabilendo che “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. Tali soggetti dovranno determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare attenzione ai diritti dell’interessato e alle rispettive funzioni di comunicazione delle informazioni previste dalla legge europea (articoli 13 e 14).

Il suddetto accordo designerà un punto di contatto per gli interessati, i quali dovranno essere messi nelle condizioni di individuare il titolare a cui far riferimento tra i più contitolari. L’interessato, quindi, potrà esercitare i propri diritti nei confronti e contro ciascun titolare del trattamento.

Inoltre, il contenuto essenziale dell’accordo dovrà essere messo a disposizione dell’interessato (articolo 26, paragrafo 2).

 

6. Conclusioni

La figura del responsabile della protezione dei dati (DPO) rientra tra i soggetti interessati al trattamento analizzati in questa guida. Ma vista la novità e la complessità di tale figura, introdotta dal nuovo Regolamento privacy, il prossimo approfondimento (a breve on line su Filodiritto), sarà dedicato unicamente ai compiti e alle responsabilità del DPO.