IL TITOLARE DEL TRATTAMENTO: CHI È E QUAL È IL SUO RUOLO NEL DISEGNO DEL GDPR?
09/10/2018

titolare-trattamento-dati


Chi è il Titolare del trattamento?

Il Titolare del trattamento, ai sensi della definizione normativa contenuta all’art. 4 del GDPR, è individuato nella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

In particolare, come precisato anche dal Garante per la protezione dei dati, il Titolare del trattamento va individuato nel soggetto che ha il potere di:

  • prendere decisioni in relazione alle finalità del trattamento;
  • impartire istruzioni e direttive;
  • svolgere funzioni di controllo.


Si tratta, sostanzialmente, del soggetto che determina autonomamente “perché” e “come” devono essere trattati i dati personali.

Il Titolare, in quanto tale, esercita una vera e propria Titolarità sui dati, ed è giuridicamente responsabile per qualsiasi trattamento eseguito direttamente o effettuato da terzi per suo conto.

Invero, si consideri che il Titolare può avvalersi di altri soggetti per l’esercizio della sua attività, i quali trattano dati personali appartenenti allo stesso. Ci si riferisce, in particolare, all’Autorizzato al trattamento (soggetto interno alla realtà aziendale), ed al Responsabile del trattamento ai sensi dell’art. 28 GDPR (che, invece, è una figura esterna). Sulla prima figura il Titolare esprime la propria  autorità, fissando diversi livelli di autorizzazioni al trattamento dei dati (e ne è responsabile), mentre per quanto riguarda il Responsabile esterno, lo stesso esercita il trattamento di dati per conto del Titolare e per le finalità da quest’ultimo stabilite, ma in autonomia per quanto riguarda i mezzi. Ne discende, quindi, che se il Responsabile esegue dei trattamenti al di fuori delle finalità dettate dal Titolare sarà lui stesso responsabile di eventuali violazioni, come stabilito dall’art. 82 GDPR, in particolare dai commi 2, 3 e 4.

In ambito privato il Titolare del trattamento può essere una persona fisica oppure una persona giuridica, mentre nel settore pubblico è generalmente individuato nell’Autorità.

Con riferimento ai trattamenti posti in essere da una persona fisica, è necessario tenere in debita considerazione che la titolarità discende unicamente dall’esecuzione di trattamenti legati a finalità commerciali e professionali. Pertanto, il soggetto privato che effettua operazioni di trattamento a carattere esclusivamente personale o domestico non potrà qualificarsi come Titolare del trattamento.

Ulteriormente, è necessario chiarire ove si ponga la titolarità in relazione alle persone giuridiche. Sul punto la posizione dell’Autorità garante per la protezione dei dati personali è piuttosto chiara, ed invero la circolare n. 291/S del 13 novembre (doc. n. 19785) specifica che “qualora il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od organismo, Titolare del trattamento è l’entità nel suo complesso”.

Tale assunto non può essere superato nemmeno dall’interpretazione letterale della definizione normativa sopracitata, la quale sembra individuare l’elemento distintivo, determinante la posizione di titolarità, nel potere di determinare mezzi e finalità del trattamento.

Rimane quindi esclusa la possibilità di vedere applicata la titolarità nei confronti dei soggetti legittimati ad esprimere la volontà della persona giuridica, o che ne concorrono alla formazione.

Il ruolo del Titolare del trattamento in ottica di accountability.

La centralità del Titolare del trattamento è legata indissolubilmente al principio di accountability.

Il termine accountability si traduce nel concetto di “responsabilità”, che discende dalla posizione di forza ricoperta dal Titolare del trattamento, la quale impone allo stesso di tutelare il legittimo affidamento dell’Interessato.

In altri termini, il Titolare del trattamento è il soggetto competente non solo ad assicurare il rispetto dei principi posti dalla nuova disciplina comunitaria, ma a garantire la corretta gestione dei dati personali e la tutela dei soggetti a cui tali dati personali riferiscono, con la diligenza del buon padre di famiglia.

La centralità di tale figura discende essenzialmente da una considerazione di carattere prevalentemente pratico.

Invero, il GDPR si propone di superare la precedente concezione normativa in materia, determinando il passaggio da un’attività di tutela ex post, fondata sulla predisposizione di strumenti di carattere rimediale, ad una attività di salvaguardia ex ante, capace di sviluppare un elevato grado di protezione, definito sulla base di una valutazione preventiva dei rischi, per i diritti e le libertà degli interessati, specifici di ogni trattamento.

Il Titolare del trattamento, in questo senso, è l’unico soggetto che, disponendo di una visione complessiva delle operazioni di trattamento, della realtà in cui le stesse si sviluppano e dei mezzi con cui vengono messe in atto, è in grado di condurre siffatta analisi e di predisporre misure di sicurezza efficaci.

Tale concezione viene sancita all’articolo 24 del Regolamento, il quale, definendo le responsabilità del Titolare del trattamento, stabilisce che Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Ne deriva un vero e proprio cambiamento culturale, che incoraggia coloro che trattano dati personali a cambiare mentalità, ad essere responsabili e a tenere conto del diritto alla protezione dei dati nel perseguimento del proprio business, sin dal momento in cui ha inizio la progettazione di prodotti e servizi che comportano il trattamento di dati.

In altri termini, ciò che viene richiesto al Titolare del trattamento, in ottica di accountability, è di dimostrare, anche attraverso l’elaborazione di precisi modelli organizzativi, di aver adottato un processo complessivo di misure giuridiche, organizzative e tecniche, incentrato su un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti in grado di prevenire in modo effettivo il possibile evento di danno.


I principali obblighi del Titolare del trattamento.

Il Titolare del trattamento è al contempo destinatario e responsabile dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali.

Gli adempimenti prescritti dal legislatore rappresentano in realtà una guida e un ausilio al Titolare del trattamento per la costruzione di un sistema di data protection in ottica di accountability.

Vediamo ora quali sono i principali obblighi posti in capo a tale figura.

1. Operare secondo i principi di privacy by design e by default
il principio di privacy by design richiede di configurare sin dall’inizio il trattamento dei dati, unitamente ai probabili rischi connessi al medesimo, predisponendo in seguito misure finalizzate a calmierare i rischi riscontrati e a prevenire le violazioni. Il principio di privacy by default, invece, prevede che, per impostazione predefinita (di default, appunto), il Titolare del trattamento dovrebbe trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste, nonché per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti (minimizzazione).

 

2. Adozione del “Registro dei trattamenti: l’art. 30 GDPR pone l’obbligo di tenuta del registro dei trattamenti in capo alle imprese e alle organizzazioni che impiegano un numero superiore a 250 dipendenti, o che svolgano attività di trattamento rischiose per i diritti e le libertà degli interessati, oppure trattamenti non occasionali, o inclusivi di categorie particolari di dati di cui all'articolo 9, paragrafo 1 GDPR, o ancora trattamenti di dati personali relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento. In ogni caso, è fortemente consigliata la detenzione del registro, in quanto consente la mappatura dei flussi che interessano i dati personali presenti in azienda e rappresenta uno strumento indispensabile per monitorare le attività di trattamento e, conseguentemente, consentirne una corretta gestione.

 

3. Predisposizione di misure di sicurezza adeguate: il Titolare del trattamento deve procedere alla definizione di idonee misure di sicurezza in termini di efficacia, così da raggiungere il requisito dell’adeguatezza di cui all’art. 32 GDPR. Ciò non può prescindere dalla conduzione di un’attività di analisi dei rischi che abbia ad oggetto l’attività aziendale e lo spazio fisico in cui questa si esplica.

 

4. Documentazione delle violazioni subite:il Titolare del trattamento ha l’obbligo di documentare qualsiasi violazione dei dati personali subita, dando atto delle circostanze che hanno causato la violazione, delle conseguenze stimate e verificatesi nonché dei provvedimenti adottati per porvi rimedio. Inoltre, andrà formalizzata una procedura di valutazione dei rischi volta a verificare se la violazione presenti un rischio per i diritti e le libertà degli interessati i cui dati sono stati violati, e che consenta poi di procedere alle comunicazioni prescritte agli artt. 33 (con riferimento all’autorità di controllo) e 34, par. 1 (in relazione al singolo interessato) GDPR.

 

5. Garantire l’esercizio satisfattivo dei diritti degli Interessati: le previsioni contenute nel testo del nuovo regolamento europeo in materia di protezione dei dati personali sanciscono peculiari diritti in capo agli interessati (artt. 15, 16, 17, 18, 19, 20, 21), i quali rendono indispensabile l’adozione di meccanismi aziendali volti a garantire e documentare la soddisfazione degli stessi.

In generale, l’esercizio dei diritti degli interessati pone in capo al Titolare del trattamento una molteplicità di oneri che debbono essere adeguatamente gestiti attraverso la previsione di processi puntuali.

 

Concludendo

Il valore riconosciuto ai dati personali, quali elementi essenziali della vita privata, e pertanto idonei a rivelare informazioni caratterizzanti l’individuo, non consente di intraprendere la strada dell’adeguamento in modo passivo e superficiale.

Non è sufficiente dotarsi della modulistica prescritta, ma è indispensabile comprendere davvero ed avere consapevolezza della ragione di tali adempimenti.

Il Titolare del trattamento rappresenta la chiave di volta di questo mutamento, che deve essere realizzato all’insegna della “responsabilizzazione”. Nel delicato percorso per divenire accountable, sopra descritto, l’Autorità Garante per la protezione dei dati personali, ha messo a disposizione dei Titolari del trattamento una prima “Guida all’applicazione del GDPR”, ma è bene tenere conto che l’educazione e la formazione costituiscono i più efficaci e validi strumenti di adeguamento.

Solamente un Titolare del trattamento consapevole può, infatti, rincorrere l’obbiettivo dell’accountability e contribuire alla salvaguardia del diritto fondamentale alla protezione dei dati personali.


Per informazioni sul servizio di adeguamento al nuovo Regolamento Europeo GDPR o chiedere informazioni sulle nostre proposte consulta il nostro servizio Privacy o contattaci scrivendo a info@qsa.it