I PRINCIPALI "SOGGETTI PRIVACY" NEL GDPR 679/2016

di Avv. Francesco Mantegazza

A far tempo dal 25 maggio 2018, come ormai noto, professionisti, aziende ed enti pubblici sono tenuti a rispettare le norme dettate dal Regolamento Europeo n. 2016/679 (o GDPR).

Ma chi sono i principali “attori” del GDPR?

TITOLARE DEL TRATTAMENTO | Data controller

Fonte. Articoli 4.7 e 24 GDPR; opinion 1/2010 del WP29.

Chi è. Ai sensi dell’art 4.7 del GDPR, titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Il titolare, così come chiarito dall’opinion 1/2010 del WP29 (Article 29 data protection working party) è la persona giuridica nel suo complesso (preference should be given to consider as controller the company or body as such rather than a specific person within the company or the body) e non il singolo organo o il rappresentante legale.

Ruolo svolto. Il Titolare è colui che determina e, cioè, decide le finalità e le modalità del trattamento.

Il WP29 sottolinea come “si può anche dire che determinare le finalità e gli strumenti equivale a determinare, rispettivamente, il perché e il come di certe attività di trattamento”

In particolare (art. 24 GDPR): […] “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

CONTITOLARE DEL TRATTAMENTO | Joint Controller

Fonte. Articolo 26 e Considerando 79 GDPR

Chi è. Ai sensi dell’art. 26 del GDPR, sono contitolari i soggetti “che determinano congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento...”

Il Regolamento prevede, pertanto, espressamente l’ipotesi che, per il medesimo trattamento di dati, sia possibile individuare più titolari – ciascuno per la sua quota di competenza - del trattamento.

Ruolo svolto. Con apposito accordo stipulato tra i titolari, gli stessi determinano le finalità e modalità del trattamento, nonché le rispettive responsabilità.

L’accordo deve riflettere “adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il contenuto essenziale dello stesso “è messo a disposizione dell'interessato”.

Per meglio comprendere, il Considerando 79, relativo all’analisi del suddetto art. 26, rileva “la protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.

È, pertanto, di fondamentale importanza definire i rapporti tra i titolari di un trattamento.

RESPONSABILE DEL TRATTAMENTO | Data Processor

Fonte. Articoli 4.8, 28, 29GDPR; opinion 1/2010 del WP29.

Chi è. Ai sensi dell’art. 4.8, “è responsabile del trattamento, la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Detto soggetto deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” (Art. 29).

Il Considerando 81 identifica con “garanzie sufficienti” la “conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento”.

L'esistenza di un responsabile del trattamento dipende da una decisione presa dal Titolare. Quest'ultimo può decidere o di trattare i dati all'interno della propria organizzazione – ad esempio attraverso collaboratori autorizzati a trattare i dati sotto la sua diretta autorità - o di delegare tutte o una parte delle attività di trattamento a un'organizzazione esterna.

Il WP29 ha delineato i due requisiti fondamentali del Responsabile: essere un soggetto distinto dal Titolare del trattamento ed elaborare i dati personali per conto di quest'ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifici o può essere più generale ed ampia.

I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un apposito contratto (o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri), che vincoli il responsabile del trattamento al titolare del trattamento e che individui la materia demandata al responsabile; la durata, la natura e la finalità del trattamento; il tipo di dati personali e le categorie di interessati; gli obblighi e i diritti.

Ruolo svolto. Il contratto determina i compiti che possono essere assegnati al responsabile.

L’art. 28.3 del GDPR indica quali sono i contenuti minimi che detto contratto deve avere.

In particolare, il responsabile del trattamento deve:

- trattare i dati personali soltanto su istruzione documentata del titolare del trattamento;

- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

- garantire la Sicurezza del trattamento;

- assistere il titolare del trattamento con misure tecniche e organizzative adeguate;

- su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi;

RAPPRESENTANTE DEL TITOLARE O DEL RESPONSABILE

Fonte. Articoli 4.17, 27 e Considerando 80 GDPR

Chi è. Ai sensi dell’art. 4.17, il rappresentante è “la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento”.

Il Considerando 80 ben qualifica detta posizione.

Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratta dati personali di interessati che si trovano nell'Unione e le sue attività di trattamento sono connesse all'offerta di beni o alla prestazione di servizi a tali interessati nell'Unione, nella misura in cui tale comportamento ha luogo all'interno dell'Unione, è opportuno che il titolare del trattamento o responsabile del trattamento designi un rappresentante.

Fanno eccezione i casi in cui il trattamento sia occasionale, o qualora il titolare del trattamento sia un'autorità pubblica o un organismo pubblico.

Ai sensi dell’art. 27, “il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell'ambito dell'offerta di beni o servizi o il cui comportamento è monitorato”.

Ruolo svolto.

“Ai fini della conformità con il presente regolamento, il rappresentante è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento” (art. 27).

Il rappresentante agisce, pertanto, per conto del titolare del trattamento o del responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo.

Lo stesso è designato mediante mandato scritto del titolare del trattam

ento o del responsabile del trattamento ad agire per conto di questi ultimi con riguardo agli obblighi che a questi derivano dal regolamento.

La designazione di tale rappresentante non incide sulla responsabilità generale del titolare del trattamento o del responsabile del trattamento ai sensi del regolamento. Tale rappresentante svolge i suoi compiti nel rispetto del mandato conferitogli dal titolare del trattamento o dal responsabile del trattamento, anche per quanto riguarda la cooperazione con le autorità di controllo competenti per qualsiasi misura adottata al fine di garantire il rispetto del regolamento.

INCARICATO DEL TRATTAMENTO

Fonte. Articolo 4.10 GDPR

Chi è. Il GDPR non prevede espressamente la figura dell'incaricato, ma nemmeno ne esclude la nomina. La definizione di tale figura si può desumere, però, dall’art. 4.10: “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del Titolare o del Responsabile”.

L’incaricato è, pertanto, la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

INTERESSATO AL TRATTAMENTO | Data Subject

Fonte. Articoli 4.1 e Considerando 27 GDPR.

Chi è. L’interessato è la persona fisica identificata o identificabile alla quale si riferiscono i dati personali (art. 4.1).

L'interessato, pertanto, può essere solo una persona fisica, e non una persona giuridica, un ente o un'associazione.

Il Considerando 27 rileva che la qualifica di interessato è applicabile solo alle persone in vita.

“Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

Diritti dell'interessato. Il GDPR attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, deve rivolgersi direttamente al titolare del trattamento.

I diritti esercitabili dall'interessato sono i seguenti:

- diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto di informazione);

- diritto di chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);

- diritto di revocare il consenso in qualsiasi momento;

- diritto di opporsi al trattamento in tutto o in parte;

- diritto di ottenere la rettifica, l’aggiornamento, la limitazione o la cancellazione dei dati conferiti;

- diritto di chiedere ed ottenere trasformazione in forma anonima dei dati;

- diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;

- diritto alla portabilità dei dati.