Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy: chi è il titolare del trattamento dei dati personali

Secondo il GDPR (all’art. 4, par. 1, n. 7), il titolare del trattamento dei dati personali è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

È proprio il suo compito di determinare “mezzi e finalità del trattamento” che permette di distinguere il Titolare del trattamento dalle altre figure della privacy.

Legislazione italiana ed europea sulla privacy

In merito di privacy e trattamento di dati personali si può fare riferimento principalmente a tre normative:

  • innanzitutto, il decreto legislativo 196/03 recante il codice in materia della protezione dei dati (o codice della privacy) emanato con il decreto legislativo 196/03, in vigore dal 2004, che sostituì la vecchia legge del 675/96. All’articolo 4, il Codice definiva il titolare del trattamento “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono […] le decisioni in ordine alle finalità, alle modalità di trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;
  • la normativa italiana è stata superata dal Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati (il cosiddetto GDPR). La definizione del titolare del trattamento, menzionata all’inizio di questo articolo, è simile (ma non identica nelle caratteristiche specifiche) a quella del D. Lgs. 196/03.

Il GDPR è stato armonizzato con la normativa nazionale per mezzo del D.lgs 101/2018 (Decreto per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679) che ha provveduto ad abrogare gli articoli del Codice Privacy incompatibili con la normative europea ed ha specificato quei punti del GDPR che rimandavano a specifiche dei singoli legislatori degli Stati Membri.

Ad oggi, le normative degli Stati Membri dell’Unione Europea si possono ritenere concordi in materia di privacy, e la definizione del titolare del trattamento dei dati è univoca.

Chi è il titolare del trattamento

Il titolare del trattamento (Data Controller) è dunque individuabile nella

organizzazione che può effettuare trattamento di dati personali di persone fisiche (i cosiddetti interessati) definendo in autonomia gli scopi e i mezzi del trattamento stesso, senza renderne conto a terzi se non all’interessato ed eventualmente all’Autorità di controllo competente.

I dati oggetto di trattamento possono appartenere a varie categorie: nome e cognome del soggetto, codice fiscale, documenti vari, indirizzo IP, dati del contatto di registrazione, dati di profilazione degli utenti e molto altro.

  • Nel caso di un’azienda, il titolare del trattamento è da considerarsi la persona giuridica nel suo complesso, sia che si tratti di un’azienda privata sia che si tratti di una pubblica amministrazione; sarà poi chiaramente il legale rappresentante a definire per conto dell’azienda stessa le linee da seguire per adempiere ai compiti del Titolare.
  • Quando vi sono gruppi di società associate a vario titolo, ciascuna personalità giuridica (società madre e società controllate) è considerata titolare relativamente alle attività di trattamento che le competono.

Possono inoltre sussistere allo stesso tempo più titolari del trattamento, detti contitolari (o Joint Controllers), che stabiliscono di concerto mezzi, scopo e oggetto del trattamento. Il regolamento europeo vigente obbliga i contitolari a definire per mezzo di un accordo il limite di responsabilità e doveri di ciascuno di essi in relazione al trattamento dei dati.

Così, può accadere che più aziende offrano congiuntamente al cliente i propri servizi, ed effettuando ciascuna trattamento di dati; in questo caso, ogni azienda deve indicare previamente la propria responsabilità nel contesto della gestione di questi dati, secondo mezzi e fini stabiliti assieme agli altri contitolari.

Ad effettuare poi materialmente il trattamento dei dati, internamente all’organizzazione del Titolare del trattamento, sono poi i singoli dipendenti, che agiscono nel rispetto delle finalità e delle modalità stabilite dal titolare.

Cosa fa il titolare del trattamento

In base alla normativa, il titolare del trattamento ha l’obbligo di:

  • rispettare tutti i principi enunciati dal GDPR all’art. 5 (liceità, correttezza, trasparenza, minimizzazione, esattezza, accountability, privacy by design e by default);
  • condurre una valutazione dei rischi (e una valutazione d’impatto se ricorrono le condizioni ai sendi dell’art. 35 del GDPR) che permetta di individuare le aree critiche dell’organizzazione sulle quali sia necessario intervenire con misure tecniche e/o organizzative per la mitigazione dei rischi stessi individuati;
  • adottare tutte le misure di sicurezza e controllo necessarie a garantire la tutela della privacy degli interessati, affinché il trattamento possa essere condotto senza che vi siano violazioni degli stessi (perdita di riservatezza, disponibilità ed integrità, a prescindere che il trattamento sia condotto su supporti digitali o cartacei);
  • redigere il registro dei trattamenti (se rientra nei casi di obbligatorietà definiti dall’art. 30 del GDPR), che indica tutto quanto concerne la gestione dei dati da parte dell’azienda o dell’ente (categorie di dati e di interessati oggetto del trattamento, le finalità e le basi giuridiche del trattamento, le figure interne e terze coinvolte, se vi sia o meno trasferimento di dati fuori dall’Unione Europea, i tempi di conservazione dei dati, le misure di sicurezza adottate);
  • designare tramite apposito atto di nomina le figure terze che si occuperanno nel concreto della gestione dei dati, assicurandosi della loro professionalità e trasparenza;
  • provvedere alla cancellazione dei dati quando richiesto dalla legge o dagli interessati, e in generale assicurare agli interessati la possibilità di esercitare tutti i propri diritti previsti dal GDPR;
  • fornire agli interessati un’informativa che fornisca tutte le indicazioni sullo specifico trattamento condotto (come definito dagli artt. 13 e 14 del GDPR) e che, se necessario, permetta agli stessi di esprimere il proprio consenso;
  • documentare eventuali violazioni dei dati trattati, darne notifica al Garante della protezione dei dati e agli interessati (ove ricorrano le condizioni definite dall’art. 33 del GDPR) e provvedere a revisionare l’analisi dei rischi così da adottare misure che prevengano ulteriori violazioni;
  • provvedere a corsi di formazione sul tema della privacy per tutti gli autorizzati al trattamento.

Come sancito dal GDPR, il titolare è direttamente responsabile per ogni violazione della normativa di settore e dei diritti degli interessati dovuta a danni imputabili alla propria azienda o al proprio ente, a meno che non possa dimostrare che essi non sono dipesi dalla sua condotta.

Gli organismi o gli individui danneggiati possono fare reclamo ed esercitare i diritti al risarcimento presso il titolare, il quale è tenuto a soddisfare la richiesta.

Titolare, responsabile o incaricato?

La molteplicità di figure coinvolte nel processo di trattamento dei dati personali individuate dal GDPR e dal D. Lgs. 101/18 può indurre in confusione, e portare a una errata suddivisione dei compiti e degli ambiti di azione. Per ottemperare agli obblighi di legge è fondamentale dividere correttamente le categorie dei ruoli nel contesto della gestione della privacy.

  • Il titolare, come già visto, decide in merito a scopi e mezzi del trattamento relativo a ogni tipo di dato personale ed effettua direttamente il trattamento dei dati per mezzo del supporto operativo interno degli incaricati ed esterno dei responsabili del trattamento. Il titolare è preposto alla nomina di tali soggetti incaricati e responsabili del trattamento.
  • Il responsabile del trattamento (Data Processor) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (Art. 4. 8) del GDPR ).
    Viene nominato, tramite apposito atto che individui le sue autorizzazioni di trattamento, solo se presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tali che il trattamento soddisfi i requisiti del GDPR. Non può ricorrere ad altro responsabile del trattamento senza previa autorizzazione scritta, specifica o generale, del Titolare del trattamento.
  • L’incaricato è la persona fisica che fa parte dell’organizzazione del Titolare del trattamento e che ha accesso ai dati e li tratta in concreto, sempre sulla base delle specifiche indicazioni del Titolare stesso.

Ci sono poi ancora due figure:

  • L’Amministratore di sistema: è una figura dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning), le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. Tale figura deve essere nominata e nell’atto di nomina devono essere puntualmente individuate le autorizzazioni che le spettano.
  • Il Data Protection Officer è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali. Deve essere nominato solo in casi particolari e ha il compito di verificare l’attuazione delle norme di settore applicabili al titolare, cooperare con le autorità di controllo e di fungere da punto di contatto con gli interessati.