L’ABC del GDPR: gli attori del trattamento

Nel turbinio sempre più frenetico delle nostre vite digitali, i ruoli e le responsabilità riguardanti la gestione dei dati personali hanno assunto un ruolo centrale e sempre più evidente. Titolari, Responsabili, DPO e Interessati: termini che siamo abituati a sentire, ma che spesso rimangono velati da un alone di mistero. In questa epoca digitale in continua evoluzione, è essenziale dissipare ogni dubbio e gettare luce su chi siano veramente queste figure e quali siano i loro compiti fondamentali. Prendiamoci un momento per esplorare il labirinto normativo che circonda il trattamento dei dati personali e scoprire il ruolo cruciale che ognuno di loro gioca nel nostro panorama digitale.

1.L’interessato

L’interessato può essere definito come il protagonista principale di questo regolamento.  Il regolamento, infatti, è concepito con l’obiettivo primario di tutelare i dati personali delle persone fisiche. Questo aspetto è evidente fin dall’articolo introduttivo, dove si afferma che il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. Si ricorda che il diritto alla protezione dei dati non è una novità degli ultimi anni ma è sancito all’interno della Carta di Nizza all’art. 8, tra i diritti fondamentali.

L’attenzione rivolta alla figura dell’interessato e l’importanza di non relegarlo a un ruolo passivo nel trattamento dei dati, ma di garantirgli un certo grado di controllo e libertà nella gestione dei propri dati, si concretizza nella previsione dei cosiddetti «diritti dell’interessato», delineati negli articoli 15 - 22 del regolamento.

2.Il titolare del trattamento dati

Il titolare del trattamento è colui che stabilisce le finalità e i mezzi dello stesso. Il responsabile del trattamento, invece, è l’individuo o l’organizzazione, l’autorità pubblica, il servizio o qualsiasi altro ente che tratta i dati personali per conto del titolare del trattamento.

Per chiarire il concetto:

• ospedale e fornitore di software medico: un ospedale titolare del trattamento) utilizza un fornitore di software medico (responsabile del trattamento) per gestire e archiviare i dati dei pazienti. Il fornitore del software tratta i dati dei pazienti per conto dell’ospedale, ma l’ospedale rimane il titolare del trattamento.

• e-commerce e un fornitore di servizi di pagamento: un e-commerce (titolare del trattamento) utilizza un fornitore di servizi di pagamento (responsabile del trattamento) per gestire le transazioni dei clienti. Il fornitore di servizi di pagamento tratta i dati delle transazioni per conto dell’e-commerce, ma l’azienda rimane il titolare del trattamento e ha la responsabilità finale per la protezione dei dati

Nel caso in cui due o più titolari decidano di definire congiuntamente le finalità e i mezzi di un trattamento, questi saranno denominati «contitolari del trattamento». In tali circostanze, l’articolo 26 del regolamento impone ai contitolari di stipulare un accordo interno, che deve essere reso disponibile all’interessato, per stabilire le rispettive responsabilità in relazione al rispetto degli obblighi legali, con particolare riferimento ai diritti degli interessati; gli interessati hanno il diritto di esercitare i propri diritti nei confronti di ciascun titolare.

Inoltre, il titolare o i contitolari del trattamento secondo l’articolo 24 sono tenuti a implementare le misure tecniche e organizzative più appropriate per garantire la protezione dei dati e la tutela dei diritti degli interessati, sia prima che durante il trattamento sempre osservando i principi di privacy by design e privacy by default. Per dimostrare la conformità e il rispetto del presente regolamento, l’articolo 24(3) prevede che possono essere adottati codici di condotta ai sensi dell’articolo 40 o un meccanismo di certificazione ai sensi dell’articolo 42.

3.Il responsabile e il sub-responsabile del trattamento

Il «responsabile del trattamento» è una figura che può essere designata dal titolare del trattamento come un ausiliario o un sostituto nel trattamento dei dati personali.

Secondo l’articolo 28 del regolamento, la nomina del responsabile del trattamento è obbligatoria in tutti i casi in cui il trattamento dei dati deve essere effettuato per conto del titolare del trattamento. Tuttavia, l’aspetto più importante è che non può essere nominato chiunque, ma solo coloro che possiedono competenze specifiche in materia, nonché l’affidabilità e le risorse necessarie per garantire l’adeguatezza del trattamento rispetto alla normativa e, soprattutto, la tutela dei diritti dell’interessato. Il responsabile può essere sia una persona fisica che giuridica, la prassi vede questa figura come una figura esterna alla realtà del titolare del trattamento.

Il responsabile del trattamento deve essere designato per iscritto dal titolare del trattamento attraverso un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile. Questo contratto o altro atto giuridico deve contenere, secondo l’articolo 28(3) del Regolamento:

• l’indicazione della tipologia di dati personali trattati, le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, la durata del trattamento, la sua natura e la finalità;

• l'obbligo di trattare i dati personali soltanto su istruzione documentata del titolare del trattamento;

• garantisca che gli incaricati al trattamento si impegnino alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

• l’obbligo di adottare misure adeguate a garantire la sicurezza dei dati personali trattati ai sensi dell’art. 32;

• la facoltà o meno di nominare sub-responsabili;

• l’obbligo di assistere il titolare del trattamento con misure tecniche e organizzative che consentano di dare seguito alle eventuali richieste degli interessati, nonché di garantire il rispetto degli obblighi prescritti dal regolamento e in particolare gli obblighi di sicurezza, le notifiche relative al data breach, la valutazione di impatto e l’accountability;

• l’obbligo, su richiesta del titolare del trattamento, di cancellare o restituire tutti i dati personali dopo che è terminata la prestazione di servizi relativi al trattamento;

• l’obbligo di mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di legge;

• l’obbligo di consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto incaricato.

Se il responsabile del trattamento viola il regolamento, stabilendo in prima persona le finalità e i mezzi del trattamento, sarà considerato un vero e proprio titolare del trattamento e, di conseguenza, sarà chiamato a rispondere oltre i limiti dell’incarico conferitogli dal titolare del trattamento attraverso il contratto.

Ai sensi dell’art. 28(2) il «sub-responsabile del trattamento» può essere nominato dal responsabile del trattamento con il consenso scritto del titolare del trattamento, o con un’autorizzazione scritta di carattere generale. In caso di autorizzazione generale, il responsabile del trattamento è tenuto a informare il titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, offrendo così al titolare del trattamento l’opportunità di opporsi a tali modifiche. È importante sottolineare che la nomina di un sub-responsabile non esonera il responsabile del trattamento dalle responsabilità connesse al trattamento dei dati. In altre parole, in caso di inadempimento da parte del sub-responsabile, il responsabile del trattamento sarà sempre responsabile dell’inadempimento dinnanzi al titolare del trattamento.

L’addetto al trattamento, noto anche come incaricato, è un individuo, sia all’interno che all’esterno dell’organizzazione, che ha il compito di gestire i dati quotidianamente: ad esempio, la segretaria. Il GDPR non menziona esplicitamente questa figura. Chiunque svolga questa attività, sia all’interno che all’esterno dell’organizzazione, dovrà essere sempre adeguatamente informato e quindi formato su come gestire i dati in modo operativo.

4.Il responsabile per la protezione dati: il DPO

L’articolo 37 del Regolamento introduce la figura del «responsabile per la protezione dei dati», o «DPO». Questa figura, che deve essere esperta e indipendente, fornisce consulenza al titolare e al responsabile del trattamento sui metodi corretti di trattamento dei dati e garantisce il rispetto degli obblighi derivanti dal regolamento.

La figura del DPO è facoltativa, ma diventa obbligatoria e deve esser designato dal responsabile o dal titolare del trattamento nei seguenti casi:

1. se il trattamento dei dati è effettuato da un ente pubblico (ad esempio un Comune), ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni (ad esempio Tribunali, Procure, ecc.);

2. se le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;

3. se l’attività principale del titolare del trattamento consiste nel trattamento, su larga scala, di dati particolari o di dati giudiziari.

Per comprendere se il trattamento dei dati è svolto su larga scala, si devono considerare i seguenti fattori:

a) il numero di soggetti interessati dal trattamento, in termini assoluti o espressi in percentuale della popolazione di riferimento;

b) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

c) la durata, ovvero la persistenza, dell’attività di trattamento;

d) la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala possono includere:

• università: un’università che tratta dati personali di studenti, docenti e personale per vari scopi, tra cui l’iscrizione, la valutazione delle prestazioni e la ricerca. In questo caso, l’università è un ente pubblico e quindi è obbligata a nominare un DPO.

• azienda di marketing digitale: un’azienda che si occupa di marketing digitale e che tratta regolarmente e sistematicamente dati personali su larga scala per profilare i consumatori e inviare pubblicità mirate. Le attività principali di questa azienda richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, quindi è necessario un DPO.
  

Il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure un soggetto esterno. Spetta al titolare o al responsabile pubblicare i dati di contatto del DPO e comunicarli all’autorità di controllo. Il DPO può anche essere condiviso da più società appartenenti a un gruppo societario a condizione che sia facilmente raggiungibile da ciascun stabilimento e  da più enti pubblici, a condizione che la loro dimensione e la loro struttura organizzativa lo permettano.

Gli obblighi del DPO( ART. 39)

Il regolamento, anche se non è richiesta alcuna certificazione specifica per la nomina, impone requisiti di preparazione e competenza e in particolare conoscenze specialistiche della normativa e della prassi in materia di protezione dei dati personali, tali da poter garantire l’assolvimento dei seguenti compiti:

a) informare il titolare del trattamento, il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal regolamento e dalle altre disposizioni comunitarie o nazionali relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Non perdere la prossima pillola! Abbiamo appena esplorato i soggetti del trattamento, il titolare e il responsabile, i contratti di contitolarità e il DPO nel contesto del regolamento 679/2016. Nella nostra prossima pillola, ci addentreremo nei principi che governano questo regolamento e ti mostreremo come rispettarli attraverso esempi pratici. Continua a seguirci per non perdere queste preziose informazioni!