GDPR (S01 E07): I soggetti e i loro ruoli
I ruoli dei vari soggetti
Il Regolamento 2016/679 dedica il Capo IV a due figure fondamentali: quella del titolare e quella del responsabile del trattamento.
Il titolare del trattamento, che non è una figura nuova ma è “ereditata” dalla normativa originata dalla Direttiva del 1995 sulla protezione dei dati, è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualunque altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Viene di solito individuato, per comodità, nel “vertice” dell’azienda o dell’organo. Colui, insomma, che decide circa il trattamento dei dati e le sue modalità. Le caratteristiche primarie del titolare sono, dunque, due: i) l'autonomia decisionale su tutti gli aspetti del trattamento del dato e della sua protezione, e ii) la sua posizione di responsabilità (è il soggetto cui vengono comminate le sanzioni amministrative).
Il Responsabile del trattamento, anche questa una figura già presente nella normativa precedente, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Quanfo ci si riferisce al responsabile, il primo istituto che viene in mente è quello dell'outsourcing, ossia l'esternalizzazione di dati per far svolgere servizi che il titolare non vuole, o non può, gestire personalmente (ad esempio: per motivi di costi).
Il rapporto tra il titolare del trattamento e il responsabile del trattamento deve essere regolato da un contratto stipulato per iscritto che, oltre a vincolare a vicenda le due figure, deve prevedere in dettaglio quale sia la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati si riferiscono. Il regolamento prevede anche la possibilità, accanto al contratto, di un altro atto giuridico.
Innanzitutto, come si anticipava poco sopra, l’Articolo 24 stabilisce la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare deve essere in grado di dimostrare la conformità delle attività di trattamento con il Regolamento stesso e deve mettere in atto misure di sicurezza adeguate ed efficaci volte a garantire ciò. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
Questi ultimi, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale.
Nei Considerando al Regolamento si precisa che questo si verifica, in particolare, nelle seguenti ipotesi:
a) quando il trattamento comporta discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
b) quando gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o viene loro impedito l’esercizio del controllo sui dati personali che li riguardano;
c) se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute, dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
d) in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
e) se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
f) se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Come detto, dunque, la probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate sulla base di una valutazione oggettiva, con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, che spetta, appunto, ai vertici, ossa al titolare.
Gli orientamenti per la messa in atto di opportune misure potrebbero essere forniti, in particolare, mediante codici di condotta o certificazioni approvate, linee guida o indicazioni fornite da un responsabile della protezione dei dati.
Inoltre, al fine di dimostrare la conformità delle sue azioni con il Regolamento in esame, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati di default e fin dalla progettazione.
Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, creare e migliorare le caratteristiche di sicurezza, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali e consentire all’interessato di controllare il trattamento dei dati.
Gli stessi produttori di servizi, prodotti e applicazioni, infine, dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati nel momento di sviluppo e progettazione.
L’Articolo 26, poi, prevede l’ipotesi di contitolari del trattamento, che si configura quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento: anche in questo caso è necessaria una chiara ripartizione delle responsabilità, che viene determinata sulla base di un accordo interno, con particolare riguardo all’esercizio dei diritti dell’interessato (per evitare che un soggetto che abbia intenzione di rivolgersi al titolare per esercitare i suoi diritti, non sappia a chi rivolgersi).
Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell’Unione Europea tratta dati personali di interessati che si trovano nell’Unione e le sue attività di trattamento sono connesse all’offerta di beni o alla prestazione di servizi a tali interessati, è opportuno che egli designi un rappresentante, fatta eccezione per il caso in cui il trattamento sia occasionale, non includa il trattamento - su larga scala - di categorie particolari di dati o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche o, infine, se il titolare del trattamento è un’autorità pubblica o un organismo pubblico.
Il rappresentante dovrebbe essere esplicitamente incaricato, mediante mandato scritto del titolare o del responsabile del trattamento, ad agire per conto di questi ultimi, con riguardo agli obblighi loro spettanti e con la possibilità di essere interpellato da qualsiasi autorità di controllo.
È importante, tuttavia, sottolineare che la designazione di tale rappresentante non incide sulla responsabilità generale del titolare del trattamento o del responsabile del trattamento.
Come stabilito all’Articolo 28, quando il titolare del trattamento affida delle attività a un responsabile del trattamento, dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, soprattutto in tema di sicurezza del trattamento.
L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.
L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità dello stesso, il tipo di dati personali, le categorie di interessati, i compiti e le responsabilità specifiche nel contesto del trattamento da eseguire e del relativo rischio.
Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali-tipo che sono adottate direttamente dalla Commissione o da un’autorità di controllo.
Dopo il completamento del trattamento per conto del titolare, il responsabile dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali, salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento ne prescrivano la conservazione.
Per dimostrare la conformità alle disposizioni contenute nel GDPR, il titolare e il responsabile del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità.
Essi dovrebbero, inoltre, cooperare con l’autorità di controllo e mettere, su richiesta, tali registri a sua disposizione a fini di monitoraggio.
Altro compito fondamentale è quello di garantire la sicurezza del trattamento: a tale scopo, il titolare e il responsabile del trattamento dovrebbero valutare gli eventuali rischi, determinandone origine, natura, particolarità e gravità, e mettere in atto le misure tecniche e organizzative atte a prevenirli o, quantomeno, a limitarli.
Tali misure dovrebbero assicurare un adeguato livello di sicurezza, tenuto conto dello stato dell’arte e dei costi di attuazione. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune, prima del trattamento si dovrebbe consultare l’autorità di controllo.
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche. Pertanto, ai sensi dell’Articolo 33, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificarla all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che egli non sia in grado di dimostrare che è improbabile che la suddetta violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata dalle ragioni del ritardo.
Il titolare del trattamento dovrebbe, altresì, comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora essa sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie.
La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile, in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti.
La Direttiva 95/46/CE aveva introdotto un obbligo generale di notificare alle autorità di controllo alcuni tipi di trattamento di dati personali. Tale obbligo comportava oneri amministrativi e finanziari, ma non sempre contribuiva a migliorare la protezione dei dati personali. Con il GDPR si è, pertanto, scelto di abolire tali obblighi generali e indiscriminati di notifica e di sostituirli con meccanismi e procedure efficaci che si concentrino su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità.
Tali tipi di trattamenti includono, in particolare, quelli che comportano l’utilizzo di nuove tecnologie: in questi casi, è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento.
Se dalla valutazione d’impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento è del parere che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e costi di attuazione, è opportuno consultare l’autorità di controllo prima dell’inizio delle attività di trattamento.
L’autorità di controllo che riceve una richiesta di consultazione dovrebbe darvi seguito entro un termine determinato; tuttavia, la mancanza di reazione entro tale termine dovrebbe far salvo ogni intervento della stessa nell’ambito dei suoi compiti e dei suoi poteri, compreso quello di vietare tali trattamenti.