Il nuovo Regolamento ha apportato alcune importanti novità riguardo ai cosiddetti “ruoli” privacy, facendo emergere l’esigenza di cogliere i cambiamenti avvenuti in un’ottica pratica di adeguamento. Le modifiche normative introdotte dal Regolamento possono infatti alterare gli schemi di governance in essere, oltre che le linee di riporto interne agli stessi titolari.
Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.
La traduzione del regolamento ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor.
Un privato che effettua un trattamento di dati a fini esclusivamente personali non rientra nell’ambito applicativo della direttiva europea in materia di protezione dei dati, e quindi non assume la qualifica di Titolare. Ma la Corte di Giustizia europea (CGUE) ha stabilito che comunque la pubblicazione di dati altrui su Internet costituisce trattamento, poiché la pubblicazione online determina l’accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica.
Obblighi
Il titolare è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell’ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. In particolare gli obblighi sono:
– notifica al Garante nei casi previsti;
– adozione delle misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
– vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
– designazione del responsabile del trattamento a cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali;
– redazione del registro di trattamenti;
– formazione del personale;
– documentazione delle violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Titolare nel settore privato e pubblico
Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel settore pubblico in genere il titolare del trattamento è l’ente nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di “responsabile”. Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997).
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.
Contitolarità
Alcune circostanze in cui due soggetti, cooperando insieme in materia di privacy, possono essere definiti entrambi titolari del trattamento.
La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.
Il Regolamento n. 679/2016 – GDPR – all’art. 26, regola la situazione di contitolarità nel trattamento dei dati personali. In base a quanto disposto dallo stesso Regolamento, si tratta di una condizione che si verifica quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento
E’ possibile che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa (art. 26 GDPR) impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.
ESEMPIO: La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé. Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.
Responsabile del trattamento e vincolo contrattuale
L’art.28 definisce e attribuisce al responsabile del trattamento ( Art.4.8 ‘Definizioni’ – “«responsabile del trattamento»: la persona fisica o giuridica, … che tratta dati personali per conto del titolare del trattamento“) obblighi e responsabilità. Il Responsabile del trattamento è vincolato da contratto al Titolare del Trattamento (art28.3). In caso di Contitolari, ciascun Responsabile del trattamento sarà quindi vincolato al proprio Titolare del trattamento da relativo contratto. Il contratto, oltre a istituire il vincolo tra Titolare e Responsabile, individua e disciplina i trattamenti che saranno effettuati dal Responsabile del trattamento; indicandone durata, natura, finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti del Titolare del trattamento.
Qualora il responsabile del trattamento agisca determinando le finalità e i mezzi del trattamento, viene considerato a tutti gli effetti un titolare del trattamento (Art.28.10).
ESEMPIO: Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento
ESEMPIO: Sei una società di vendita al dettaglio che decide di archiviare una versione di back-up del proprio database clienti su un server basato su cloud. A tal fine stipuli un contratto con un fornitore di servizi cloud noto per i suoi standard di protezione dei dati e che dispone di un sistema certificato di crittografia dei dati. Il fornitore di servizi cloud è il responsabile del trattamento in quanto, conservando i dati personali dei tuoi clienti nei suoi server, tratterà i dati personali per tuo conto.
Responsabilità e danni
Nel considerando 146 il Legislatore europeo formula alcune osservazioni, utili anche ai fini dell’interpretazione delle disposizioni legislative.
In particolare, si afferma che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati ad una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Si ha trattamento non conforme al regolamento anche nel caso in cui il trattamento non sia conforme agli atti delegati e agli atti di esecuzione adottati in conformità del GDPR, e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.
Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero ammontare del danno, al fine di garantire l’intero risarcimento. L’interessato potrà, quindi, rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido. Chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.
Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che:
– l’evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
– o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso.