Il Titolare del trattamento non è una figura nuova nell’ambito della normativa privacy.
Secondo quanto stabilito dall’art. 4 comma 7 del GDPR, il Titolare del trattamento (data controller) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
In sostanza il “titolare del trattamento” non solo è colui che ha la facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri (e senza dover rendere conto a terzi che non siano gli interessati), ma è anche colui che decide sia le ragioni che le modalità del trattamento dei dati.
In linea generale, quindi il Titolare è individuato nel vertice dell’azienda, ovvero la società, l'ente, l'associazione o lo studio associato nel loro complesso e, pertanto, corrisponde ad una persona giuridica.
Nel caso in cui il trattamento dei dati venga effettuato nell'ambito di una persona giuridica, di una Pubblica Amministrazione o di un altro organismo, il titolare deve essere identificato nell'ente nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché in taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile del trattamento".
Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (si veda in proposito il Parere emesso da parte dell’Autorità Garante per la Tutela dei Dati Personali in data 9 dicembre 1997).
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.
Il Regolamento Europeo per la Tutela dei Dati personali riconosce come possibile la coesistenza di più “titolari del trattamento” (“contitolari” o “jointes controllers”) che decidono congiuntamente il trattamento di uno specifico insieme di dati per conseguire una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti. In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.
Sul sito della Commissione europea sono state pubblicate alcune FAQ utili alle aziende per chiarire che cosa queste ultime debbano fare per rispettare le norme UE sulla protezione dei dati.
Vediamo le risposte fornite in merito all’individuazione del Titolare del trattamento in alcune realtà aziendali prese ad esempio.
L'articolo continua dopo la pubblicità
Ti puo interessare il Software GB Privacy offerto in diverse configurazioni e il pacchetto di 3 e-book sulla Tutela della Privacy
Può essere qualcun altro (una persona fisica o giuridica o qualsiasi altro organismo) a trattare i dati personali per te, a condizione che esista un contratto o altro atto giuridico. È importante che il responsabile del trattamento da te nominato fornisca garanzie sufficienti nell’attuare misure tecniche e organizzative adeguate per assicurare che il trattamento rispetti gli standard del regolamento generale sulla protezione dei dati e che i diritti delle persone siano tutelati.
Il responsabile designato non può successivamente nominare un altro responsabile senza la tua autorizzazione scritta, specifica o generale. Il contratto o l’atto giuridico tra la tua azienda/organizzazione e il responsabile deve includere i seguenti elementi:
Casi aziendali
Un’impresa edile utilizza un subappaltatore per determinati lavori e gli fornisce i dati di contatto dei clienti per i quali bisogna eseguire tali lavori.
Il subappaltatore utilizza i dati anche per inviare materiale marketing ai clienti. Il subappaltatore in questo caso non può essere considerato un semplice «responsabile del trattamento» ai sensi del GDPR, in quanto il subappaltatore non tratta i dati personali solo per conto dell’impresa edile, ma anche per le proprie finalità.
Il subappaltatore funge pertanto da «titolare del trattamento».
Sei una società di vendita al dettaglio che decide di archiviare una versione di back-up del proprio database clienti su un server basato su cloud. A tal fine stipuli un contratto con un fornitore di servizi cloud noto per i suoi standard di protezione dei dati e che dispone di un sistema certificato di crittografia dei dati.
Il fornitore di servizi cloud è il responsabile del trattamento in quanto, conservando i dati personali dei tuoi clienti nei suoi server, tratterà i dati personali per tuo conto.
Riferimenti Normativi: Articolo 28; considerando 81 del regolamento.
Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.
La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.
Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.
Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. Un’attività tipica dei responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’archiviazione sul cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.
Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.
Casi aziendali
Titolare del trattamento e responsabile del trattamento
Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti.
Contitolari del trattamento
La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé.
Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.
Riferimenti Normativi: