Chi sono il titolare e il responsabile della privacy?
Che ruolo e responsabilità hanno in tema di trattamento dei dati personali?
Com’è regolato il rapporto giuridico tra di essi?
Cosa prevede al riguardo la normativa europea?
Troppo spesso si sente parlare di norme inerenti dati personali senza capire o conoscere esattamente di che cosa trattino.
Esse prevedono lo spostamento da un soggetto a molti altri soggetti di enormi moli di dati, anche sensibili.
Ciò che sfugge sono, tuttavia, le dinamiche giuridiche coinvolte da questi spostamenti.
Sarà utile vederle più nel dettaglio, seppur senza pretese di completezza.
Preliminarmente si tenga presente che la tutela della privacy è un diritto fondamentale riconosciuto e normato in modo vincolante dall’ordinamento europeo.
Si riporta quanto specificato dal considerando 1 del regolamento UE 679/2016:
“La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.
È certo vero che la norma non va intesa in senso assoluto ma deve essere controbilanciata con gli interessi della collettività.
Tuttavia, come più volte ribadito in altre occasioni, occorre sempre operare un bilanciamento tra interessi e diritti in gioco che porti a garantire la sopravvivenza di un nucleo irriducibile dei diritti fondamentali coinvolti.
Ad esempio, proprio in tema di dati sanitari sensibili il regolamento UE 679/2016 delinea i confini invalicabili da qualsiasi norma nazionale poiché, oltre essi, si avrebbe il totale annientamento della tutela dei propri dati personali.
La normativa europea prevede anche altri limiti, meno specifici e più generali.
Uno di essi riguarda il limite soggettivo che vede nella figura del “titolare” l’unico soggetto legittimato al trattamento dei dati personali.
L’ulteriore limite riguarda le modalità di conferimento dell’incarico di trattamento ad altri soggetti terzi, designati come responsabili, per i quali è necessario attenersi a specifiche prescrizioni sia formali che sostanziali.
Indice
- Chi sono i soggetti coinvolti nel trattamento dei dati personali?
- Chi è il titolare del trattamento dei dati personali?
- Chi è il responsabile del trattamento dei dati personali?
- Qual è l’elemento legittimante il trattamento dei dati personali da parte del responsabile?
- Che natura giuridica ha il rapporto tra titolare e responsabile del trattamento dei dati personali?
- Quali sono le modalità di conferimento dell’incarico di responsabile.
- Qual è il contenuto dell’atto formale di conferimento dell’incarico di responsabile?
- Il responsabile del trattamento può sub-delegare ad altro responsabile?
- Quali sono le conseguenze cui incorre il responsabile del trattamento?
1. Chi sono i soggetti coinvolti nel trattamento dei dati personali?
A parte l’interessato, i principali soggetti coinvolti nel trattamento dei dati personali sono:
– il titolare;
– il responsabile.
Solo essi sono legittimati a gestire il trattamento di tali dati.
Il primo, il titolare, trova la sua legittimazione nella base giuridica che determina la necessità del trattamento (legge, contratto, consenso dell’interessato, etc.).
Il secondo trova la sua legittimazione in un preciso rapporto con il titolare.
2. Chi è il titolare del trattamento dei dati personali?
Per fornire una definizione dei citati soggetti, occorre richiamare l’art. 4 del Regolamento UE 679/2016.
Nello specifico, ai sensi del n° 7), si intende per “ «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
La norma richiama il Considerando 74 secondo cui “In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
3. Chi è il responsabile del trattamento dei dati personali?
Il responsabile del trattamento è definito, nel punto immediatamente successivo dell’art. 4 Regolamento UE 679/2016, come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Egli si ritiene possa essere solo un soggetto esterno e terzo rispetto al titolare.
Vedasi in proposito le indicazioni date dalla stessa Unione Europea.
4. Qual è l’elemento legittimante il trattamento dei dati personali da parte del responsabile?
È chiaro che il ruolo del responsabile del trattamento trova la sua origine in un rapporto specifico sorto con il titolare.
Il conferimento del relativo incarico deve essere effettuato mediante contratto o altro atto giuridico idoneo.
Non è sufficiente una mera delega orale o un atto generalizzato.
5. Che natura giuridica ha il rapporto tra titolare e responsabile del trattamento dei dati personali?
Come si è visto, il rapporto tra titolare e responsabile dei dati personali nasce da un contratto o da altro atto giuridico vincolante.
La norma di cui all’art. 4 del Regolamento UE 679/2016, inoltre, utilizza esplicitamente la locuzione “per conto del”.
Ciò fa pensare alla sussistenza di un rapporto di mandato tra le due figure riconducibile alla fattispecie di cui all’art. 1703 codice civile, come da taluni rilevato in considerazione della coincidenza letterale.
6. Quali sono le modalità di conferimento dell’incarico di responsabile.
L’art. 28 Regolamento UE 679/2016 dispone espressamente che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”.
Non sussistono margini interpretativi in riferimento alla imprescindibilità di un atto scritto di conferimento dell’incarico.
Parimenti, il contratto o altro atto giuridico dovranno necessariamente identificare in modo chiaro e univoco il soggetto nominato responsabile.
In difetto, il trattamento dei dati personali da parte di soggetti non indicati come responsabili nel contratto o altro atto giudico di incarico sarà da considerarsi illecito.
7. Qual è il contenuto dell’atto formale di conferimento dell’incarico di responsabile?
Chiarita la necessità di un atto formale scritto avente data certa per la validità del conferimento dell’incarico di responsabile ,occorre chiarire, altresì, quali debbano essere gli elementi necessari di questo atto.
L’art. 28 Regolamento UE 679/2016 continua a dettare una normativa specifica sul punto precisando che il contenuto minimo deve riportare:
- la durata del trattamento;
- a natura del trattamento;
- la finalità del trattamento;
- il tipo di dati personali trattati;
- le categorie di interessati;
- gli obblighi e i diritti del titolare del trattamento
A titolo meramente esemplificativo, si prenda in considerazione lo schema di atto di designazione del responsabile dei dati predisposto dal Garante della Privacy che, ovviamente, sarà da adattarsi ad ogni singolo caso specifico.
8. Il responsabile del trattamento può sub-delegare ad altro responsabile?
Sempre l’art. 28 interviene anche sulla questione relativa alla possibilità, per il responsabile, di avvalersi di altri soggetti.
Al comma 2 è previsto che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”.
Ciò implica che, affinché il responsabile possa avvalersi di soggetti sub-responsabili, occorre che ciò sia previsto nel contratto o atto giuridico scritto legittimante l’incarico, o, comunque, che sussista un atto autorizzatorio espresso da parte del titolare.
Anche qui, in difetto, il trattamento dei dati personali da parte di altri soggetti non autorizzati sarà da considerarsi illecito.
9. Quali sono le conseguenze cui incorre il responsabile del trattamento?
La legittimità o meno dell’atto di incarico è rilevante poiché il responsabile incorre nelle medesime conseguenze civili e penali sussistenti a carico del titolare in caso di illiceità del trattamento.
L’art. 28 specifica, infatti, che: “con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.
L’obbligo di informativa del responsabile è funzionale alla possibilità, per quest’ultimo, di dissociarsi da eventuali trattamenti dei dati personali che non rispettino le prescrizioni di cui al regolamento UE 679/2016.
Ciò vale, per esempio, nelle ipotesi in cui non sussista un atto di conferimento validamente emesso da parte del titolare, oppure il responsabile non abbia i requisiti necessari per il trattamento di alcune categorie di dati personali.
Sul punto vedasi gli approfondimenti riportati in questo articolo.