PRIVACY, N. 4 – SOGGETTI DEL TRATTAMENTO.
Le figure che entrano in gioco quando si parla di trattamento di dati personali.
|
E’ ora il caso di vedere quali soggetti entrano in gioco quando si parla di trattamento dei dati personali.
– I soggetti attivi –
Innanzitutto vi sono alcuni soggetti che operano dal lato attivo, ossia partecipano all’effettuazione (in senso lato) del trattamento dei dati altrui. Si tratta delle seguenti figure:
- titolare (ed eventuale contitolare);
- mero incaricato (da parte del titolare);
- responsabile (ed eventuale sub-responsabile);
- rappresentante del titolare o del responsabile;
- data protection officer (c.d. DPO);
Ciascuna delle predette figure è rilevante in quanto soggetta (in misura maggiore o minore ed a diverso titolo) agli obblighi e responsabilità che stiamo per sintetizzare in relazione al trattamento cui partecipa.
– Il soggetto passivo –
Dall’altro lato vi è invece l’interessato, ossia il soggetto i cui dati personali vengono trattati da parte dei suddetti soggetti attivi. Individuarlo rileva in quanto egli è colui che può far valere i diritti riconosciuti dalla normativa e di cui si dirà meglio oltre.
TITOLARE E CONTITOLARE
– Il titolare –
Il titolare è colui che nella sostanza e concretamente esercita il potere decisionale in merito a quel trattamento, in particolare potendone decidere “finalità” e “mezzi” (cioè tutto quel che riguarda il “perché” ed il “come”). Questo significa (ed è aspetto fondamentale) che tale qualifica -con tutti i conseguenti obblighi- dipende non dal dato formale (ad esempio, da come il soggetto è qualificato nel testo del contratto) bensì dalla realtà dei fatti (ad esempio, in base al concreto esercizio di tali poteri manifestato mediante direttive di cui è rimasta traccia scritta o di cui esistono testimoni). Fondamentale è a tal fine il carattere vincolante delle loro direttive e l’esercizio di controlli sul rispetto delle stesse da parte dei sottoposti. Comunque, la normativa potrà in futuro prevedere più precisi criteri per individuare il titolare.
Titolare può essere sia una persona fisica (cioè il Sig. Mario Rossi), sia qualsiasi tipo di persona giuridica (società, enti pubblici, partiti, eccetera), anche se non riconosciuta (ad esempio, il comitato di base sorto spontaneamente e dotatosi di una seppur minima organizzazione benché non riconosciuto da parte di alcuna Autorità). Nel caso di persona giuridica essa è normalmente titolare nel suo complesso (ad esempio, l’intera società per azioni in quanto tale), però può divenire titolare una sua singola articolazione interna (il GDPR parla di un suo “servizio”) se risulta a tal fine sufficientemente organizzata e dotata di reale autonomia (ad esempio, potrebbe divenirlo il “ramo liquidazione danni” di una compagnia assicuratrice). Occorre una valutazione caso per caso da parte dell’esperto, tenendo conto del fatto che tale “servizio” potrebbe altresì divenire contitolare assieme alla persona giuridica.
– Poteri e doveri –
Il titolare oltre ad esercitare i predetti poteri decisori è altresì colui che individua e nomina gli altri soggetti attivi predetti a lui subordinati o suoi collaboratori esterni (a seconda dei casi, come vedremo) ed è colui che in prima battuta è tenuto a rispettare tutti i principi del trattamento di cui si è detto (sicurezza, minimizzazione, legalità, eccetera). Inoltre, egli è colui che in primis è tenuto a garantire il rispetto dei diritti dell’interessato (ad esempio, adempiere ad una richiesta di cancellazione da mailing list) di cui si dirà oltre. Infine, è colui tenuto a collaborare con l’Autorità in caso di richiesta e/o necessità (ad esempio, segnalando il c.d. data breach o esibendo il registro dei trattamenti richiesto da parte del Garante).
– La delega –
L’eventuale delega di talune funzioni non fa venir meno la qualifica di titolare, unico soggetto che di regola (salvo le eccezioni che si diranno) risponde del risarcimento per eventuali danni provocati agli interessati. D’altro canto, l’eventuale delega delle principali questioni relative all’esercizio del potere di determinare mezzi del trattamento (che, come abbiamo visto, è uno dei due poteri che individua il titolare) potrebbe trasformare colui che apparentemente è mero delegato in un vero e proprio contitolare.
– Il contitolare –
Si parla di contitolari del trattamento quando due o più soggetti esercitano congiuntamente i suddetti poteri che individuano il titolare. In questo caso è importante notare che la normativa impone la conclusione di uno specifico accordo interno tra i contitolari che definisca chiaramente alcuni aspetti necessari: responsabilità e ruoli di ciascuno (sia tra contitolari, sia nei rapporti con gli interessati), riparto degli obblighi. Tale accordo va obbligatoriamente reso accessibile agli interessati, in un’ottica di trasparenza. Resta comunque salva la possibilità per l’interessato di esercitare i diritti di cui dispone in quanto tale nei confronti di ciascuno. E’ rilevante notare anche che il mancato rispetto dell’obbligo di perfezionamento di tale accordo è espressamente sanzionato con una sanzione amministrativa pecuniaria di importo assai ingente.
MERO INCARICATO, RESPONSABILE E SUBRESPONSABILE
– Collaboratori del titolare –
Come accennavamo, il titolare può avvalersi di propri subordinati o collaboratori esterni per effettuare il trattamento ed adempiere ai vari obblighi ad esso connessi (ad esempio: il dipendente esperto di database che registra i dati; il tecnico informatico che appronta i sistemi di sicurezza; eccetera). Tutti costoro possono entrare in contatto coi dati personali solo se istruiti in tal modo da parte del titolare e attenendosi alle direttive ricevute. Del resto, la violazione delle istruzioni impartite (oltre che la violazione degli specifici obblighi previsti in capo al responsabile da parte della normativa) è motivo di responsabilità risarcitoria diretta nei confronti dell’interessato danneggiato. D’altro canto, spetta al titolare assicurarsi che le persone di cui si avvale siano adeguatamente competenti e fidate. Il responsabile può comunque trattare i dati anche in assenza di istruzioni ove a ciò si obbligato da specifica norma vigente, tuttavia con obbligo di informarne previamente il titolare (salvo deroga di legge per ragioni di pubblico interesse).
– L’incaricato –
Ciò detto, il titolare potrebbe innanzitutto avvalersi di un mero incaricato. Si tratta sostanzialmente del soggetto interno all’organizzazione che opera come puro e semplice esecutore materiale, privo di qualsivoglia margine di autonomia, che compie le operazioni dovute così come ordinatogli da parte del titolare (ad esempio, il dipendente che registra gli ospiti alla reception dell’hotel). Egli non è tenuto a particolari adempimenti (a differenza del responsabile, come si sta per dire), essendo mera “mano” del titolare. Tale figura però non è espressamente prevista dal GDPR, bensì recuperata dalla previgente normativa italiana. Bisognerà pertanto prestare attenzione a come si orienteranno le interpretazioni in merito.
– Il responsabile –
Più complessa è invece la posizione del responsabile. Egli è una persona fisica o giuridica (o “servizio” interno, come detto per il titolare) che “tratta dati personali per conto del titolare” (così la normativa). In sostanza, è colui che nel rispetto delle finalità stabilite da parte del titolare nell’interesse di questo e su suo incarico gestisce (in senso lato) i dati personali avendo un qualche margine di discrezionalità nello stabilire quantomeno i mezzi del trattamento, purché non in tutti gli aspetti e nei tratti fondamentali, altrimenti rischierebbe di divenire un contitolare (ad esempio, responsabile potrebbe essere il gestore del servizio di cloud storage di cui si avvale il titolare). Va poi notato che se per qualsiasi motivo costui iniziasse ad utilizzare i dati per finalità diverse e stabilite autonomamente egli diverrebbe in prima persona titolare, con tutte le conseguenze di legge.
– L’accordo formale obbligatorio col responsabile –
Il responsabile (ma pare non il mero incaricato) deve obbligatoriamente aver ricevuto tale incarico in forma scritta o elettronica (ad esempio, via scambio di PEC di proposta e accettazione dell’accordo) a mezzo di contratto o altro atto giuridico vincolante per legge. Sono necessariamente da includervisi alcune clausole inderogabili previste dalla normativa in particolare all’art. 28 GDPR (durata, natura, finalità, tipologia di dati, menzione di vari obblighi e divieti).
– Obblighi e divieti per il responsabile –
Il responsabile è destinatario di alcuni obblighi posti espressamente a suo carico dalla normativa, per lo più in materia di sicurezza (ad esempio: assistenza al titolare nella valutazione d’impatto, collaborazione col DPO e col Garante, riservatezza, adozione di misure tecniche e organizzative adeguate, redazione e tenuta del proprio registro dei trattamenti ex art. 30 GDPR, eccetera), ma anche al fine di rispettare gli altri principi del trattamento (ad esempio: informando il titolare di eventuali mutamenti dei dati, contribuendo alle revisioni, cancellando i dati quando non più necessari per le finalità contemplate, eccetera).
Il responsabile di norma non può nominare un proprio subresponsabile. Può farlo solo dietro espressa previa autorizzazione da parte del titolare e purché sia soggetto che garantisca il rispetto a sua volta di tutti i predetti obblighi (compresa, ad esempio, la designazione mediante lo specifico accordo suddetto). Tale autorizzazione può essere anche “generale” e in tal caso basterà che il responsabile comunichi al titolare i dati del nuovo/ulteriore subresponsabile con congruo anticipo, dovendosi ritenere la scelta confermata se non giunga una espressa opposizione entro termine ragionevole.
In particolare, va considerato che la violazione dei suoi obblighi può esporlo a responsabilità diretta nei confronti dell’interessato, in solido col titolare, oltre che a cospicue sanzioni amministrative pecuniarie.
RAPPRESENTANTE
– Quando serve il rappresentante –
Il titolare e/o il responsabile di un trattamento di un certo “rilievo” che siano stabiliti in Paese esterno all’Unione Europea hanno l’obbligo di designare all’interno dell’Unione Europea un proprio rappresentante. Ciò mediante necessaria forma scritta. L’obbligo scatta più di preciso quando il trattamento rientri nell’ambito di applicazione del GDPR e riguardi su larga scala dati sensibili o giudiziari e con probabile rischio per gli interessati anche alla luce di natura, contesto, ambito d’applicazione e finalità del trattamento. Ad esempio, il piccolo artigiano che dall’Estero invia piccoli manufatti su ordinazione in U.E. verosimilmente non necessiterà del rappresentante, a differenza ad esempio di una grande compagnia assicurativa internazionale.
– Chi è e cosa fa il rappresentante –
Egli potrà essere (come nei casi predetti) qualunque persona fisica o giuridica ed avrà il compito ed il potere di rappresentare il mandante in tutti i rapporti esterni, sia passivi (ovvero l’adempimento degli obblighi, come ad esempio recepire e rispondere alle richieste del Garante o dell’interessato che voglia esercitare i propri diritti), sia attivi. Comunque, il mandante conserva tutte le proprie responsabilità, nessuna esclusa.
Nel silenzio della normativa si ritiene che lo stesso rappresentante potrà svolgere tale funzione per diversi mandanti (ad esempio, un unico studio legale quale rappresentante nell’U.E. di diverse multinazionali).
Non è stato espressamente chiarito se tale soggetto possa rappresentare il mandante anche in giudizio, pertanto la questione andrà risolta alla luce delle altre norme di carattere generali vigenti.
– Sanzioni –
E’ importante ricordare che la mancata designazione comporta una sanzione amministrativa pecuniaria di ingente importo. Per ora, invece, non sono state previste espressamente sanzioni direttamente rivolte al rappresentante per eventuali violazioni riferibili al trattamento per il quale opera.
DATA PROTECTION OFFICER (c.d. DPO)
– Il D.P.O. quale figura indipendente –
Tale figura è una delle grandi novità introdotte dal GDPR. Egli benché designato da parte del titolare e del responsabile (tant’è che spesso è loro dipendente, ma è ben possibile anche la designazione di un collaboratore esterno) deve in realtà mantenere una certa indipendenza, in quanto avente un ruolo oltre che di consulenza in materia di sicurezza anche di vigilanza. In particolare non è vincolato al rispetto di eventuali direttive “dall’alto” vertenti sulla materia di cui si occupa ed è posto al riparo da eventuali licenziamenti/sanzioni per tale mancato rispetto. D’altronde, egli può svolgere anche compiti diversi ed ulteriori a quello di DPO per conto del titolare/responsabile, purché siano evitate situazioni di conflitto di interessi.
– Le capacità tecnico-giuridiche –
Se non è un dipendente deve essere vincolato da apposito contratto. Deve essere persona adeguatamente esperta sia dal punto di vista giuridico, sia dal punto di vista tecnico-informatico nella materia della protezione dei dati personali e della riservatezza, inoltre deve essere dotata di mezzi adeguati.
– Quando è obbligtorio –
La sua nomina è obbligatoria in tre ipotesi:
- 1) sempre se a svolgere il trattamento è una Pubblica Autorità, eccezion fatta per quella giudiziaria;
- 2) per il soggetto privato, se le attività principali del titolare consistono nel monitorare su larga scala in modo regolare e sistematico gli interessati;
- 3) per il soggetto privato, se le attività principali del titolare consistono nel trattare su larga scala dati sensibili o giudiziari.
Come è evidente, sarà opportuno valutare caso per caso quali siano le “attività principali” di chi effettua il trattamento, anche alla luce della dottrina in materia. Pertanto è opportuno, soprattutto per professionisti ed imprese, consultare l’esperto onde valutare se nel proprio caso ricorra o no l’obbligo di nominare il DPO.
A queste ipotesi si aggiunge ogni altro eventuale caso in futuro previsto espressamente da norme interne o dell’Unione Europea. Resta comunque inteso che, anche al fine di garantire una maggiore sicurezza e dimostrare una migliore diligenza in caso di future eventuali contestazioni, il DPO può essere comunque nominato facoltativamente pure al di fuori degli obblighi normativi predetti.
– I compiti –
Per quanto riguarda i suoi compiti, egli deve mantenere un costante confronto con titolare e responsabile, scambiando con loro tutte le informazioni utili per garantire la sicurezza del trattamento; inoltre il DPO vigila sul rispetto della normativa (oltre che dei disciplinari interni) e presta consulenza riguardo ad essa (sia in termini generali, sia per specifici adempimenti: ad esempio, per la valutazione d’impatto) tanto al titolare ed al responsabile, quanto ai loro incaricati e dipendenti. Ulteriormente, va immediatamente coinvolto in ogni questione riguardante la protezione dei dati. Infine, sul piano esterno, deve rispondere ad ogni questione sollevata da parte del Garante e dell’interessato, nell’ambito della sua materia di attività.
– Sanzioni –
Anche in questo caso, la omessa nomina ove obbligatoria comporta sanzioni amministrative pecuniarie di importo elevato.
INTERESSATO
Infine vi è l’interessato, che è sostanzialmente colui i cui dati vengono trattati. Riguardo a tale soggetto non vengono in rilievo particolari questioni e per lo più rilevano i suoi diritti, di cui si dirà oltre nel prossimo capitolo di questa guida.
In particolare, si può discutere di cosa accada alla sua morte: in tal caso pare che il dato personale cessi di essere tale, ma la normativa italiana previgente garantiva potenzialmente l’esercizio in capo agli eredi ed altri interessati dei suoi diritti. Occorrerà vedere che soluzione verrà adottata in futuro dal legislatore nella vigenza del GDPR.
– TORNA ALL’INDICE DELLA GUIDA
-> PRECEDENTE CAPITOLO: “PRIVACY N. 3 – Trattamento e suoi principi”
-> PROSSIMO CAPITOLO: “PRIVACY N. 5 – Diritti dell’interessato”
Lascia un commento