Titolare, responsabile e incaricato del trattamento dei dati

Titolare del trattamento, Responsabile del trattamento e Incaricato nel nuovo regolamento.

In attesa di aggiornamenti da parte del Garante, cerchiamo di continuare nel nostro viaggio di approfondimento. In particolare focalizziamo i punti che disciplinano le resposabilità di alcune figure coinvolte nel trattamento dei dati.

Il GDPR che sarà pienamente applicato dalla mezzanotte del 24 maggio 2018:

  • disciplina (art. 26) la contitolarità del trattamento: impone, qualora sussitano più titolari, di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari;
  • fissa dettagliatamente (rispetto al Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi di un contratto (o altro atto giuridico) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”.
    In particolare:
    – natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento;
    – le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare;
    – garantire le disposizioni contenute nel regolamento;
  • consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4) con gli stessi stessi obblighi contrattuali che legano titolare e responsabile primario che risponde dinanzi al titolare degli eventuali inadempimenti del sub-responsabile, anche ai fini del risarcimento di danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
  • prevede obblighi specifici per i responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari.
    Ciò riguarda in particolare:
    – la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2);
    – l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento);
    – la designazione di un RPD-DPO (si segnala al riguardo www.garanteprivacy.it/regolamentoue/rpd) nei casi previsti dal regolamento o dal diritto nazionale (art. 37 del regolamento).

Dato che il Regolamento ha un’influenza mondiale, poiché disciplina in quale modo le società e le organizzazioni gestiscono i dati personali dei soggetti che si trovano nell’Unione Europea, anche il responsabile non stabilito nell’UE, dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, paragrafo 3, del regolamento –  diversamente da quanto prevedeva l’art. 5, comma 2, del Codice.

La figura dell’ “Incaricato”, non viene esclusa

  • Al Titolare ed al Responsabile sono assegnate caratteristiche soggettive e responsabilità negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice italiano. Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento). È chiaro che la responsabilità dell’operato degli incaricati, ricadrà in linea diretta su Titolari o Responsabili.


Raccomandazioni da parte del Garante:
“I titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità (si vedano, in proposito, le indicazioni fornite dal Garante in vari provvedimenti, fra cui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785), essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini  dell’esercizio dei diritti previsti dal regolamento.
I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole
contrattuali modello da utilizzare a questo scopo.
Attraverso l’adesione a codici deontologici ovvero l’adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all’art. 28, paragrafi 1 e 4. Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell’ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l’intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43).
In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.

Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del  principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.
In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni
anche attraverso gli interventi del Garante (si veda art. 30 del Codice e, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507921, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953 in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e dimostrare “che il trattamento è effettuato conformemente” al regolamento (si veda art. 24, paragrafo 1, del regolamento).”

———–

Fonte: Garanteprivacy

Call Now
MAP