Guida al GDPR: i protagonisti del regolamento

Guida al GDPR: i protagonisti del regolamento
Tempo di lettura 12 min
  •  
  •  
  •  
  •  
  •  
  •  

 

Da venerdì 25 maggio entrano in vigore le norme del regolamento Ue 2016/679, noto come Gdpr (General Data Protection Regulation).Si tratta di una vera e propria rivoluzione degli obblighi e dei diritti delle imprese, delle istituzioni e degli utenti in materia di privacy.

Al fine di fare chiarezza su alcuni aspetti della normativa, come si è già fatto nel precedente articolo che può essere consultato qui), verranno adesso analizzati i soggetti protagonisti del GDPR.

 

Interessato al trattamento

L’interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali. L’interessato è una persona fisica identificata o identificabile (cioè identificata anche in modo indiretto) facendo riferimento a informazioni o elementi caratteristici, o tramite l’incrocio di più dati personali.

La normativa attribuisce all’interessato specifici diritti, per l’esercizio dei quali può rivolgersi direttamente al titolare del trattamento:

  • esercitare l’opposizione al trattamento in tutto o in parte;
  • ottenere la cancellazione dei dati in possesso del titolare;
  • ottenere l’aggiornamento o la rettifica dei dati conferiti;
  • chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
  • chiedere ed ottenere trasformazione in forma anonima dei dati;
  • chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento.

Il regolamento europeo ammette delle deroghe ai diritti riconosciuti all’interessato, da stabilire in base a disposizioni nazionali. A tale proposito si ritiene ancora applicabile la normativa prevista dall’articolo 8 del Codice per la protezione dei dati personali italiano.

 

Titolare del trattamento

il Titolare del trattamento (data controller) è colui che, da solo o insieme ad altri (v. successivo), determina le finalità e gli strumenti del trattamento di dati personali, e decide quali categorie di dati personali devono essere registrate. È anche definito come “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (art. 4 Codice in materia di protezione dei dati).

Il titolare del trattamento non è, pertanto, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti.

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel settore pubblico in genere il titolare del trattamento è l’autorità, cioè la persona giuridica.
Qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di altro organismo,, il titolare è l’ente nel suo complesso.

È possibile che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridico valido) il rispettivo ambito di responsabilità e i compiti. In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare risponde per il danno cagionato all’interessato.

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero danno, al fine di garantire l’intero risarcimento. ovviamente chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che l’evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.

 

Responsabile del trattamento

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.

Si tratta di un soggetto distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.

Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all’azienda, con riferimento ai fornitori di servizi. Infatti, vi è uno specifico obbligo di predisporre un contratto ( o altro “atto giuridico a norma del diritto dell’Unione o degli Stati Membri“) per la designazione delle responsabilità a carico del responsabile. A livello europeo, inoltre, si è da sempre affermata l’idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare.

Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Per quanto riguarda i professionisti iscritti ad albi o comunque le ipotesi in cui il fornitore esterno ha ampia autonomia e si autorganizza (commercialista, avvocato, medico del lavoro Legge 81/2008, consulente del lavoro, azienda per il DVR-documento valutazione rischi-), questo porta a configurare più correttamente il soggetto come titolare autonomo piuttosto che responsabile, appunto perché non riceve istruzioni specifiche sul trattamento da parte del titolare.

nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, il responsabile diventa titolare della gestione illecita dei dati e ne risponde come tale, insieme all’effettivo titolare.

Nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde per il danno cagionato all’interessato.

Volendo esemplificare, il responsabile potrebbe rispondere nei casi in cui:

  • travalica le istruzioni del titolare;
  • agisce in contrasto con le istruzioni del titolare;
  • non assiste il titolare (ad esempio per le violazioni dei dati o la valutazione di impatto);
  • non pone a disposizione del titolare le informazioni necessarie per un audit;
  • non informa il titolare che una sua istruzione è in violazione della normativa;
  • pur essendovi obbligato non designa il DPO;
  • designa un sub-responsabile non essendo stato previamente autorizzato;
  • designa un sub-responsabile che non presta garanzie sufficienti;
  • non tiene il registro dei trattamenti.

Il titolare e il responsabile sono esonerati da responsabilità se dimostrano che l’evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.

 

Il web hosting quale responsabile del trattamento

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L’hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti.

L’hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
L’hosting, inoltre, ha l’obbligo di notificare al titolare le eventuali violazioni di dati. E’ buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale).
Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting.

E’ pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell’hosting. Ma se l’hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.

 

Incaricato del trattamento

L’incaricato del trattamento è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di trattamento dei dati.

Il regolamento europeo non prevede espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile (art. 4).

L’incaricato è, in sintesi, colui che effettua materialmente le operazioni di trattamento sui dati personali. Può essere solo una persona fisica, deve agire sotto la diretta autorità del titolare del trattamento.

E’ fondamentale tenere presente che in assenza della nomina di incaricati, qualsiasi operazione svolta dai dipendenti o collaboratori del titolare non sarà qualificata come un utilizzo interno dei dati, bensì come una comunicazione a terzi, con le problematiche del caso.

l’Autorità di controllo italiana ha precisato che la mancata designazione degli incaricati è una violazione dell’obbligo di applicazione delle misure minime di sicurezza, da cui deriva una sanzione amministrativa (ai sensi dell’art. 162 comma 2 bis del Codice per la protezione dei dati personali) ed una penale (art. 169 del Codice privacy che punisce chi, essendovi tenuto, omette di adottare le misure minime di sicurezza).

La normativa non prevede requisiti quantitativi, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento, e quindi necessita di un formale incarico perché non sia considerato illecito. Ugualmente, non rileva la circostanza che l’incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell’azienda.

La nomina dell’incaricato o degli incaricati (può avvenire anche con unico atto per più incaricati) deve avvenire con forma scritta, tramite atto nel quale sono indicati i nominativi e i compiti, compreso gli obblighi inerenti le misure di sicurezza. L’incaricato deve, ovviamente, attenersi streattamente alle istruzioni ricevute. La designazione non necessita di firma degli incaricati per accettazione, anche se è utile una presa visione quale prova della conoscenza dell’incarico.

In alcuni casi può sorgere il dubbio se designare un incaricato oppure nominare un responsabile. In genere ci si può orientare verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L’incaricato, invece, è un mero esecutore di compiti.

Per fare qualche esempio, colui il quale elabora le paghe generalmente va designato responsabile, mentre chi si occupa della manutenzione e dell’assistenza del sistema informatico sarà incaricato. Se però si tratta di una azienda alla quale è affidata la manutenzione dei computer, che quindi manda all’occorrenza diversi soggetti, è preferibile nominare l’azienda stessa quale responsabile esterno, in modo che non occorra nominare caso per caso incaricati le persone inviate per le operazioni.

 

Data Protection Officer (DPO)

Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.

il DPO è un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.

L’articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti. Questo proprio a tutela della sua autonomia. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno.

Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all’Autorità di controllo nazionale.

Tale designazione è obbligatoria solo in tre casi.

1) Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni).

2) Se l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.
Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi:
– il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
– la quantità dei dati trattati;
– le diverse tipologie di dati trattati;
– la durata del trattamento;
– la portata geografica del trattamento.

3) Se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia e quindi verificarne l’attuazione e l’applicazione. Quindi raccoglie informazioni sui trattamenti svolit, e ne verifica la conformità alle norme.
Se richiesto, potrà fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
Inoltre è il punto di contatto, non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti. Potrà, infine, consultare il Garante anche di propria iniziativa.

l DPO non è, però, personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa. Il titolare, quindi, potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO.