Titolare del trattamento dei dati chi è e cosa fa

Il Titolare del trattamento dei dati (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.

Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento. Il titolare, inoltre, è soggetto al fondamentale principio di responsabilizzazione (accountability). La giurisprudenza della Corte di Giustizia europea ha, però, precisato che il ruolo di titolare del trattamento va deciso guardando alla situazione concreta, tenendo presente che spesso alcune decisioni possono essere delegate a terzi. Per cui anche l’integrazione di un servizio che comporta elaborazione di dati (es. l’inserimento di plugin Facebook) e la capacità di influenzare tale elaborazione porta alla qualifica di titolare del trattamento.

L’introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor.

Un privato che effettua un trattamento di dati a fini esclusivamente personali non rientra nell’ambito applicativo della direttiva europea in materia di protezione dei dati, e quindi non assume la qualifica di Titolare. Ma la Corte di Giustizia europea (CGUE) ha stabilito che comunque la pubblicazione di dati altrui su Internet costituisce trattamento, poiché la pubblicazione online determina l’accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica.

Obblighi

Il titolare è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell’ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. In particolare gli obblighi sono:
– notifica al Garante nei casi previsti;
– adozione delle misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
– vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
– designazione del responsabile del trattamento a cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali;
– redazione del registro di trattamenti;
– formazione del personale con tramite dei corsi sulla privacy gdpr anche in modalità e-learning;
– documentazione delle violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Titolare nel settore privato e pubblico

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel settore pubblico in genere il titolare del trattamento è l’ente nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di “responsabile”. Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997).
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.

Contitolarità

E’ possibile che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa (art. 26 GDPR) impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. se inGli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

La Corte di Giustizia europea con sentenza del 29 luglio 2019 (caso 40-17 Fashion ID) ha stabilito che il titolare del trattamento è anche chi decide delle finalità e dei mezzi del trattamento solo parzialmente, e che in particolare non è necessario che tutti i titolari abbiano accesso a tutti i dati. Ovviamente in tal caso la ripartizione di responsabilità non è uguale tra i titolari, responsabilità che deve essere valutate in base alle sole parti del trattamento che riguarda i singoli titolari. Inoltre l’eventuale consenso deve essere richiesto dal titolare congiunto solo con riferimento ai trattamenti sotto la sua responsabilità (salvo informare anche dei trattamenti che opererà l’altro titolare congiunto).

Responsabilità e danni

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare, secondo quanto previsto dall’articolo 82 e dal Considerando 79, risponde direttamente per il danno cagionato all’interessato in conseguenza di una violazione del regolamento. Il Considerando 146 precisa, però, che il titolare sarà responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero ammontare del danno, al fine di garantire l’intero risarcimento. L’interessato potrà, quindi, rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido. Chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che:
– l’evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
– o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso.

Per qualsiasi ulteriore informazione o consulenza contatti i Ns TECNICI in ufficio allo 0809648231 o tramite il seguente form https://corsisicurezzalavoroweb.it/contatti/

Tutti i nostri corsi organizzati e certificati da For.Sic Formazione Sicurezza (vai al sito)