Trattamento dei dati personali: quali sono i ruoli

Posted onAuthorStefano BendandiLeave a comment

trattamento_dati_personali_ruoli
Image courtesy, Pixabay

Il trattamento dei dati personali è un processo che interessa vari soggetti, ognuno con un ruolo specifico, degli obblighi e responsabilità ben definiti all’interno del Reg. Ue 679/2016, meglio conosciuto con la sigla di RGPD.

Vediamo in questo post quali sono questi soggetti, quali sono gli elementi chiave per distinguerli e che ruolo hanno nella catena di un trattamento.

1. Trattamento dei dati personali: chi è il titolare

Il titolare è l’entità che stabilisce il perché un trattamento è necessario (scopo), così come pure i mezzi, compresi gli strumenti utilizzabili per compiere operazioni  (es. raccolta, consultazione, modifica, ecc) sui dati personali.

I mezzi del trattamento possono essere di due tipi: 

  1. Essenziali: categorie di dati personali trattati, durata del trattamento, categorie di interessati e di destinatari;
  2. Non essenziali: software, archivi elettronici (database) o cartacei, pc desktop, notebook, tablet, smartphone, ecc.

Il comitato europeo per la protezione dei dati personali (EDPB) ha emanato le linee guida 7/2020 con lo scopo di chiarire i concetti e i ruoli di titolare, contitolare e responsabile e comprendere anche quali siano le loro responsabilità.

Ciò che importa è che l’entità, qualunque sia la sua natura, abbia l’autonomia e il potere di determinare gli scopi e i mezzi del trattamento. Ma questo potere decisionale deve esistere in modo oggettivo e non semplicemente formale.

1.1 Esempi di titolarità del trattamento

Il titolare come entità può essere una persona giuridica (es. società di capitali), una persona fisica (es. un libero professionista, il titolare di una ditta individuale, ecc.), una autorità pubblica (es. un ente pubblico), un servizio (es. un servizio web) o qualsiasi altro organismo (es. associazione).

Le linee guida dell’EDPB contengono diversi esempi di titolarità del trattamento.

1.2 Chi è il contitolare del trattamento

Quando il potere di determinare gli scopi e i mezzi del trattamento è esercitato insieme ad altre entità ci troviamo di fronte ad una situazione di contitolarità del trattamento. Il contitolare, quindi, è un’altra entità che, insieme con il titolare, stabilisce gli scopi e i mezzi del trattamento.

Si tratta di un potere decisionale congiunto che ognuna delle entità deve avere e che può esercitare mediante decisioni comuni o complementari.

Ma l’importante, anche in questo caso, è che il potere esista in modo oggettivo e concreto e derivi dal rapporto tra le parti.

Ed è per questo motivo che l’RGPD richiede (art. 26) un accordo interno con cui le parti regolamentano le proprie responsabilità relativamente agli obblighi previsti con riferimento all’esercizio dei diritti degli interessati e le comunicazioni delle informative di trattamento.

2. Trattamento dei dati personali: chi è il responsabile

E’ l’entità che tratta dati personali per conto del titolare. Come il titolare, anche il responsabile può essere, indifferentemente, una persona fisica o giuridica, una autorità pubblica, un servizio o altro organismo, purché si tratti di un soggetto diverso dal titolare.

L’espressione “per conto del titolare” è la chiave che permette di individuare un responsabile. Secondo il parere fornito dall’EDPB si tratta di un concetto vicino a quello di delega. In poche parole, equivale a servire l’interesse di un terzo che in questo caso è proprio il titolare.

Perciò il soggetto distinto (responsabile) deve trattare dati a beneficio del titolare e non può trattarli per finalità proprie. Anzi, se lo fa, può essere considerato un titolare, anziché un responsabile.

2.1 Ruolo ed autonomia del responsabile del trattamento

Il responsabile deve rispettare le istruzioni impartite dal titolare in relazione alle finalità e ai mezzi del trattamento, ma questo non significa che debba operare sotto l’autorità o il controllo diretto del titolare. Può avere una sua autonomia nel decidere le misure tecniche ed organizzative più adeguate, ma sempre nel rispetto delle istruzioni del titolare.

Attenzione a non commettere l’errore di pensare che tutti i fornitori di servizi di cui il titolare si avvale nel corso della sua attività siano automaticamente anche responsabili del trattamento. Sempre secondo l’EDPB il ruolo di responsabile è strettamente collegato alla natura del servizio/i prestato/i.

Infatti, il fornitore di servizi può essere considerato come titolare autonomo dei dati personali, almeno in due casi:

  1. quando il servizio prestato non è diretto in modo specifico al trattamento dei dati personali,
  2. quando il trattamento dei dati personali non è un elemento essenziale del servizio

Tuttavia, in relazione a questi ultimi due casi, il prestatore di servizi può essere responsabile ad una condizione ben precisa: che il cliente destinatario di tali servizi, cioè il titolare dei dati, continui ad avere il potere e l’autonomia di determinare le finalità e i mezzi del trattamento stesso.

3. Trattamento dei dati personali: chi sono i soggetti interessati

Si chiamano interessati i soggetti i cui dati personali sono trattati dal titolare e/o responsabile.

Ad esempio, in un rapporto di lavoro alle dipendenze di una società, i dipendenti sono gli interessati i cui dati personali sono trattati dal titolare (la società) allo scopo di gestire il rapporto di lavoro e adempiere agli obblighi previsti.

4. Trattamento dei dati personali: gli autorizzati al trattamento

L’RGPD contiene un riferimento diretto alle “persone autorizzate” (art. 4, n. 10), ma non una definizione esplicita di questa categoria.

Attualmente con il termine di autorizzati si continua a fare riferimento a quei soggetti che sono stati incaricati di svolgere una o più operazioni di trattamento dei dati personali.

Spetta al titolare o responsabile decidere in che modo designare i soggetti autorizzati al trattamento. Molto spesso la nomina viene fatta con un atto scritto per rispondere alla richiesta di responsabilizzazione (accountability) del titolare da parte dell’RGPD.

E nello stesso atto si riportano anche le istruzioni di trattamento e le prescrizioni di sicurezza da adottare e rispettare nel corso del trattamento stesso.

Tuttavia, l’RGPD non prevede a tale riguardo l’obbligo di rispettare una forma particolare per questa nomina.

5. Trattamento dei dati personali: chi sono i soggetti destinatari dei dati?

Si tratta di tutte quelle entità (persona fisica o giuridica, autorità pubblica, servizio o altro organismo) che ricevono comunicazione dei dati personali.

Il destinatario che riceve i dati personali e li tratta per proprie finalità è considerato a tutti gli effetti un titolare di trattamento.

Esempio: una società eroga servizi per il riconoscimento di qualifiche professionali e, come parte dei propri servizi, trasmette ad un’altra società (destinatario) per il rilascio di una certificazione, i dati personali dei soggetti che superano un esame e dimostrano di essere in possesso dei requisiti previsti.

6. Trattamento dei dati personali: chi  è il responsabile della protezione dei dati?

E’ una nuova figura prevista dal RGPD e si indica, spesso, con l’acronimo dpo. La sua nomina è obbligatoria soltanto in alcuni casi particolari, quando:

  1. il trattamento è svolto da una autorità pubblica o organismo pubblico,
  2. si tratta di trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala degli interessati,
  3. si tratta di un trattamento su larga scala di dati particolari (art. 9) oppure di dati personali relativi a condanne penali e a reati (art. 10) 

Al di fuori di queste ipotesi la nomina del dpo è facoltativa. In ogni caso, però, la scelta del responsabile della protezione dei dati personali deve essere giustificabile in relazione alle sue caratteristiche professionali, cioè:

  • la conoscenza specialistica della normativa e della prassi relative alla protezione dei dati personali,
  • la capacità di svolgere pienamente i suoi compiti

Dal punto di vista delle caratteristiche soggettive, il dpo può operare come entità esterna rispetto al titolare o responsabile, sulla base di un contratto di servizio. E, d’altra parte, può anche essere un dipendente.

Il gruppo di lavoro dell’art. 29 ha emanato delle linee guida (disponibili qui in italiano) allo scopo di chiarire le disposizioni del RGPD relative a tale soggetto che ricopre una posizione peculiare nella catena del trattamento. 

Ti è piaciuto l’articolo? Puoi contattarci per farci sapere la tua opinione o chiedere maggiori informazioni sui servizi, cliccando sul pulsante qui sotto.

Contattaci

Oppure puoi iscriverti alla newsletter, così riceverai automaticamente tutti gli aggiornamento del blog. Puoi anche condividere l’articolo sui social network, cliccando su una delle icone in basso.

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.