Privacy: chi è il titolare del trattamento dei dati personali
La definizione di Titolare del trattamento è contenuta nell’art. 4, par. 1, n. 7 del Regolamento europeo 679/2016 (GDPR), ai sensi del quale lo stesso può essere identificato nella “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
È proprio quindi il suo compito di determinare i “mezzi e le finalità del trattamento” che permette di distinguere il Titolare del trattamento dalle altre figure previste dalla normativa privacy.
Il Regolamento in esame ha introdotto poi anche il principio di accountability – responsabilizzazione secondo cui il Titolare del trattamento non è solo responsabile del rispetto dei principi di cui all’art. 5, paragrafo 1 del GDPR, ma deve essere anche in grado di dimostrare tale conformità mediante un idoneo sistema documentale di gestione della privacy
Chi è il titolare del trattamento
Il Data Controller quindi, in virtù di un potere decisionale, determina gli elementi chiave del trattamento di dati personali che vuole effettuare definendo quindi sia le finalità del trattamento stesso (intese come risultato atteso o al quale tendono le azioni pianificate) che i mezzi per realizzarlo ossia le modalità con le quali ottenere tale risultato.
In altre parole, il Titolare del trattamento è il soggetto che determina il perché del trattamento – ossia “a quale fine” – e come tale obiettivo deve essere raggiunto –quali mezzi è necessario adottare per conseguirlo –.
Questo potere decisionale può, ai sensi della normativa privacy, essere condiviso quando più di un soggetto è coinvolto nella definizione delle finalità e dei mezzi del trattamento.
I Joint Controller stabiliscono quindi di concerto ossia congiuntamente i mezzi, lo scopo e l’oggetto del trattamento stesso.
Si evidenzia però che l’uso di un sistema o di un’infrastruttura comuni per il trattamento dei dati personali non comporta necessariamente e in tutti casi la contitolarità del trattamento stesso posto che tale contitolarità non si realizza se il trattamento effettuato è scindibile e realizzato senza l’intervento dell’altro Titolare.
In altre parole, non tutti i tipi di partenariato, cooperazione o collaborazione implicano la qualifica di contitolari del trattamento, in quanto è necessaria un’analisi caso per caso di ciascun trattamento in questione per definire specificatamente il ruolo svolto da ciascun soggetto coinvolto in relazione a tale trattamento.
Cosa fa il titolare del trattamento
In base alla normativa privacy europea e nazionale, alTitolare del trattamento spetta l’obbligo di:
- effettuare ogni tipo di trattamento di dati personali rispettando i principi enunciati all’art. 5 del GDPR ossia liceità, correttezza, trasparenza, minimizzazione e esattezza del dato;
- condurre una valutazione dei rischied eventualmente una valutazione d’impatto(nei casi in cui ricorrano le condizioni di cui all’art. 35 del GDPR ) al fine di individuare le aree critiche dell’organizzazione sulle quali sia necessario intervenire con misure tecniche e/o organizzative idonee a mitigare i rischi individuati;
- rispettare il principio della “privacy by design e privacy by dafault” che impone al Titolare del trattamento, da un lato di implementare le misure tecniche e organizzative adeguate al trattamento, dall’altro di prevedere che per impostazione predefinita vengano trattati solo i dati personali nella misura necessaria e sufficiente per le finalità e per il periodo strettamente necessario a tali fini;
- adottare tutte lemisure di sicurezza e controllonecessarie a garantire la tutela della privacy degli interessati;
- redigereil registro dei trattamenti: trattasi di un documento nel quale il Titolare del trattamento, grazie all’ausilio dei referenti dei singoli reparti e/o dell’eventuale DPO (nel caso in cui la sua nomina sia obbligatoria), mappa tutti i trattamenti dei dati personali effettuati dividendoli per categoria, indicando al tal fine non solo l’insieme dei soggetti interessati al trattamento ma anche la tipologia dei dati personali trattati, le finalità e la base giuridica, i Responsabili esterni coinvolti nel trattamento, se vi sia o meno trasferimento di dati al di fuori dell’Unione Europea, nonché i tempi di conservazione dei dati e le misure di sicurezza adottate per proteggere il trattamento.
- designaretramite accordo ex art. 28 i Responsabili esterni ossia le figure terze, o più specificatamente i fornitori, che si occuperanno nel concreto della gestione dei dati rispettando le indicazioni impartite dal Titolare;
- provvedere alla cancellazione dei datiquando richiesto dalla legge o dagli interessati,e in generale assicurare agli interessati la possibilità di esercitare tutti i diritti previsti dal GDPR;
- fornire agli interessati un’informativache fornisca tutte le indicazioni sullo specifico trattamento effettuato (come definito dagli artt. 13 e 14 del GDPR) e, quando necessario, permetta agli stessi di esprimere liberamente il loro consenso informato;
- documentareeventualiviolazioni dei dati trattati tramite il c.d. registro delle violazioni, darne notifica al Garante della protezione dei dati e agli eventuali interessati coinvolti (ove ricorrano le condizioni definite dall’art. 33 del GDPR) e provvedere a revisionare l’analisi dei rischi così da adottare misure che prevengano ulteriori violazioni;
- provvedere acorsi di formazionesul tema della privacy per tutti gli autorizzati al trattamento.
Come sancito dal GDPR, il titolare è direttamente responsabile per ogni violazione della normativa di settore e dei diritti degli interessati dovuta a danni imputabili alla propria azienda o al proprio ente, a meno che non possa dimostrare che essi non sono dipesi dalla sua condotta.
Gli organismi o gli individui danneggiati possono fare reclamo ed esercitare i diritti al risarcimento presso il titolare, il quale è tenuto a soddisfare la richiesta.