ADEMPIMENTI PRIVACY

I ruoli privacy: indicazioni pratiche per una corretta attribuzione

La corretta definizione dei ruoli privacy richiede un’analisi complessa che deve tener conto di numerose variabili e della loro evoluzione nel tempo. Ecco come procedere

02 Dic 2020
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Rispetto alla precedente normativa privacy, il GDPR ha reso più vincolante e precisa la definizione dei ruoli privacy assunti dai vari soggetti che trattano dati personali quali:

  • titolari
  • contitolari
  • responsabili
  • sub responsabili
  • rappresentanti

e richiede la loro formalizzazione con specifici contratti od altri documenti di analogo valore.

La corretta individuazione e definizione di tali ruoli privacy non è tuttavia così scontata, semplice e univoca e può riservare numerose incognite.

Inoltre, in alcuni casi, è possibile individuare fra quelle disponibili, le soluzioni più idonee in particolare per quanto attiene le attribuzioni di responsabilità.

Ma andiamo con ordine.

I ruoli privacy: il titolare del trattamento

Innanzitutto, a differenza degli altri, il ruolo di titolare non viene attribuito da un atto formale; un soggetto che determina le finalità e i mezzi del trattamento assume automaticamente il ruolo di titolare.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Non hanno quindi alcun senso le designazioni di un soggetto quale titolare di trattamento, mentre diverso è il caso in cui due o più soggetti, titolari di trattamento, determinano congiuntamente le finalità e i mezzi del trattamento, assumendo il ruolo di contitolari del trattamento.

Consigli per costruire correttamente il proprio modello privacy

Altro concetto importante è che troppo spesso un soggetto che tratta dati personali (ad esempio l’azienda A) pensa di operare solo come titolare e quindi costruisce il proprio modello privacy e le proprie relazioni esterne partendo da questa accezione.

In particolare, con tale modello i soggetti esterni che partecipano al trattamento (ad esempio l’azienda B) saranno di norma designati quali responsabili di trattamento (salvo che operino a loro volta come autonomi titolari).

Tale modello è ovviamente assolutamente corretto e legittimo, ma cosa succede se il nostro titolare (azienda A) effettua successivamente dei trattamenti per conto dell’azienda X, titolare di trattamento, sempre avvalendosi del responsabile (azienda B)?

Tale caso si può presentare più frequentemente di quanto ci si possa immaginare.

Ad esempio, quando una capo gruppo (azienda A) che si avvale di una società designandola responsabile di trattamento (azienda B), quale piattaforma informatica per la gestione del proprio personale, inizia successivamente a trattare i dati anche del personale di un’altra società del gruppo (ad esempio l’azienda X) e per tale motivo viene a sua volta nominata responsabile da tale azienda.

È evidente che in tale contesto la società (azienda B) assumerà un doppio ruolo.

Continuerà ad operare come responsabile per la capo gruppo, ma diventerà un sub responsabile per conto della azienda X; si evidenzia che la formalizzazione di tale doppio ruolo compete alla capo gruppo.

Si pongono al riguardo una serie di problematiche non banali.

La prima è che il contratto con il soggetto esterno dovrà essere aggiornato o duplicato, nel senso che un contratto, già in essere, riguarderà il suo ruolo quale responsabile, ed un altro contratto riguarderà il suo ruolo quale sub responsabile (nel caso dell’esempio per lo stesso tipo di finalità di trattamento).

La seconda è che in realtà il sub responsabile non ha gli stessi vincoli e responsabilità di un responsabile nei confronti di un titolare (e quindi del “proprietario” dei dati).

Questo secondo aspetto è per lo più sottovalutato e poco presidiato.

Nei contratti di designazione a responsabile viene infatti data molta enfasi al fatto che non vi siano troppi vincoli nel poter ricorrere a sub responsabili, ma poco si riflette sul fatto che i sub responsabili non rispondono nei confronti del titolare, in quanto tale attribuzione spetta unicamente al responsabile.

È infatti quest’ultimo che risponde nei confronti del titolare sia per sé, sia per i sub responsabili che ha designato.

Nel caso in specie, quindi, se la nostra capo gruppo è stata particolarmente attenta nel formalizzare la designazione nei confronti del responsabile (azienda B), in modo tale da essere adeguatamente tutelata sia dal punto di vista della conformità, sia dal punto di vista del rischio di richiesta di risarcimento danni da parte dei soggetti tutelati (“chiunque” secondo quanto prevede l’art. 82 del GDPR) tale tutela non si estende ai trattamenti posti in essere dall’azienda B in quanto sub responsabile.

Infatti, nel momento in cui il soggetto esterno opera come sub responsabile, anche se la normativa prevede che contrattualmente la sua designazione abbia gli stessi vincoli di quella di un responsabile:

Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento”.

Non di meno, in caso di inadempienza sarà la capo gruppo a rispondere nei confronti dell’azienda X:

Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.

Ecco, quindi, che per i trattamenti (analoghi o diversi a seconda dei casi) per i quali il soggetto esterno opera come sub responsabile, diventa ancora più importante una corretta valutazione delle sue reali capacità di rispettare le indicazioni fornite nel contratto di designazione.

In altre parole, ricorrere ad un sub responsabile espone il soggetto che ha effettuato la designazione a rischi che devono essere attentamente valutati e che, nella situazione descritta, sono troppo spesso trascurati o del tutto ignorati.

Anzi, molto spesso non si ha nemmeno l’avvertenza di considerare che il soggetto esterno (nell’esempio la società che gestisce la piattaforma informatica) riveste due distinti ruoli, ritenendo a torto, che sia sufficiente la sua designazione quale responsabile.

Ma è possibile individuare una soluzione meno rischiosa per il titolare (la capo gruppo nell’esempio) rispetto alla designazione dell’azienda B quale sub responsabile?

La risposta è affermativa ed in realtà era l’unica soluzione possibile con la precedente normativa.

Sebbene sia sicuramente più laboriosa e più vincolante per i soggetti coinvolti l’azienda B potrebbe essere designata quale responsabile direttamente dall’azienda X, assumendo in questo caso, tutte le responsabilità che il ruolo comporta.

Quindi in luogo di una designazione della capo gruppo quale responsabile da parte dell’azienda X e di sub responsabile dell’azienda B da parte della capo gruppo, è possibile che l’azienda X proceda alla designazione sia della capo gruppo, sia dell’azienda B quali responsabili.

Sono evidenti i limiti ed i vincoli di tale soluzione, che poneva tanti problemi nella sua gestione con la precedente normativa, tuttavia se i rischi sono elevati costituisce sicuramente la soluzione ideale per la capo gruppo che dovrebbe proporla come soluzione all’azienda X piuttosto che procedere ad una autonoma designazione.

Ruoli privacy: le designazioni incrociate

Un altro concetto troppo spesso dimenticato è quello che una designazione a responsabile, sub responsabile o un accordo fra titolari riguarda uno o più specifici trattamenti (o per meglio dire finalità di trattamento).

Un soggetto esterno (azienda B) quindi può assumere ruoli diversi per conto del soggetto (azienda A) in funzione dei trattamenti che sta svolgendo o in funzione di chi è il soggetto titolare dei dati nel caso in cui il trattamento sia il medesimo (come nell’esempio prima citato dei trattamenti dei dati del personale).

Ecco, quindi, la possibilità di designazioni incrociate (ad esempio l’azienda ALFA può effettuare la gestione delle paghe dell’azienda BETA, ed a sua volta l’azienda BETA può gestire il sistema informativo dell’azienda ALFA).

L’azienda ALFA e BETA si designano quindi reciprocamente quali Responsabili di trattamento per le specifiche finalità indicate.

Tale accezione non riguarda però solo il ruolo di responsabile.

Si consideri ad esempio un consulente paghe.

Tale soggetto può gestire le paghe di un’azienda, ricevendo da queste indicazioni specifiche sui trattamenti da effettuare, ma contestualmente può effettuare per la medesima azienda una specifica attività di consulenza.

Per la prima attività quindi opererà come Responsabile, mentre l’attività di consulenza sarà svolta in qualità di Titolare.

Conclusioni

In merito all’attribuzione dei ruoli privacy, si possono trarre diverse conclusioni e indicazioni dagli esempi riportati, fra le quali:

  • l’attribuzione di un corretto ruolo privacy non è una attività svolta una tantum, ma necessità di una continua gestione nel tempo;
  • il ruolo privacy di un soggetto è legato alla singola finalità di trattamento;
  • la relazione fra due soggetti che trattano dati personali può comportare che i medesimi rivestano fra loro ruoli diversi per finalità di trattamento diverse;
  • le relazioni devono sempre essere formalizzate;
  • può esistere più di una soluzione per l’individuazione dei ruoli, con diversi gradi di responsabilità;
  • la variazione del ruolo di un soggetto che tratta i dati può avere impatti sui ruoli attribuiti agli altri soggetti che partecipano ai trattamenti e questo aspetto deve essere attentamente valutato anche in prospettiva (si pensi ad esempio al vincolo che un Titolare può imporre ad un Responsabile circa la designazione dei sub responsabili).

Ancora una volta la normativa privacy dimostra la propria complessità e pervasività e quanto le soluzioni fotocopia messe in atto con troppa leggerezza siano piene di insidie[1].

NOTE

  1. Il tema dei ruoli privacy è ricco di altri spunti e pertanto per maggiori dettagli rinvio alla mia recente pubblicazione: GDPR La privacy nella pratica quotidiana – Tutte le domande a cui un DPO deve sapere rispondere.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr