Titolare autonomo o responsabile del trattamento: criteri per l’attribuzione del ruolo - Cyber Security 360

GUIDA NORMATIVA

Titolare autonomo o responsabile del trattamento: criteri per l’attribuzione del ruolo

Vediamo tutto quello che il GDPR prevede per le figure incaricate della data protection, a cominciare dal capire le differenze tra i ruoli da assegnare al titolare autonomo o al responsabile del trattamento

19 Giu 2020
T
Giuseppina Terzoli

GDPR consultant

Titolare del trattamento, responsabile esterno, contitolari: il rischio di fare confusione tra queste figure previste dal GDPR è alto. Partendo da una base normativa spieghiamo quale criterio applicare, a certe condizioni, nella più funzionale attribuzione del ruolo, scegliendo tra la figura di “titolare autonomo del trattamento” e quella di “responsabile esterno del trattamento”.

Iniziamo col riassumere alcune definizioni dei ruoli previsti dal GDPR in modo da focalizzare il contesto in cui effettuare la scelta.

Il titolare del trattamento

Nel GDPR, all’articolo 4, viene definito titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme a altri, determina le finalità e i mezzi del trattamento di dati personali.

A questa definizione occorre affiancare la letture del Considerando 74 che così recita:

“È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

Il responsabile esterno del trattamento

Si tratta, in questo caso, della persona fisica o giuridica, dell’autorità pubblica, del servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

oltre al Considerando 81 che così recita:

“[…]. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. […]”.

Contitolari del trattamento

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti.

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Tale accordo può designare un punto di contatto per gli interessati.

Anche in questo caso, è utile la lettura del Considerando 79 che così recita:

“La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al controllo e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento”.

I ruoli della data protection

Possiamo ora individuare quelli che sono i differenti ruoli nell’ambito della data protection.

Il cliente/titolare del trattamento:

  • decide autonomamente perché e quando uno specifico trattamento è necessario;
  • decide autonomamente con quali strumenti questo stesso trattamento debba essere svolto;
  • si attiva affinché questo stesso trattamento venga svolto all’interno dell’azienda e con risorse proprie.

Il cliente/titolare del trattamento decide autonomamente:

  • perché e quando uno specifico trattamento è necessario;
  • con quali strumenti questo stesso trattamento debba essere svolto;
  • a chi possa effettuare le attività di trattamento in sua vece (segue atto formale di nomina a Responsabile del trattamento), tenuto conto che esso stesso, titolare, o non è in grado di svolgere il trattamento ovvero non ha interesse a che questo stesso trattamento venga svolto internamente all’azienda.

Il cliente/titolare del trattamento decide assieme ad altri soggetti (che rivestono a loro volta la qualifica di contitolari del trattamento):

  • perché uno o più specifici trattamenti sono necessari all’attività di tutti gli attori coinvolti;
  • con quali strumenti questo/i stesso/i trattamento/i debba/no essere svolto/i, strumenti che possono essere ubicati presso uno o più degli attori coinvolti, ovvero presso fornitori terzi (questi ultimi, se del caso, eventualmente nominati “responsabili del trattamento” per conto dei contitolari del trattamento);
  • in tale contesto, la “condivisione” della scelta (di alcune finalità e taluni mezzi del trattamento) e della responsabilità (di qualsiasi natura, i.e. civile, amministrativa, penale) suggerisce che, in sede di stipula di accordo interno tra i soggetti contitolari, l’ambito delle attività e dei trattamenti condivisi venga chiaramente identificato. Si ricorda inoltre che il contenuto essenziale di tale accordo dovrà essere reso noto anche all’Interessato.

In tutti questi contesti il GDPR identifica chiaramente i ruoli “tradizionali” degli attori della privacy, chiarendone i rispettivi obblighi e le conseguenti responsabilità.

Due titolari autonomi e distinti del trattamento

Analizziamo invece il rapporto che si pone in essere qualora:

  • due distinti soggetti (le Parti);
  • ciascuna Parte con un proprio oggetto sociale, distinto e diverso rispetto all’altra Parte;
  • una o entrambe le Parti eventualmente soggette a particolari normative di settore;

sottoscrivano un contratto, o altro atto giuridico, per fornire, ciascuna Parte in funzione del proprio oggetto sociale, una prestazione specifica o un ben identificato servizio che, assieme, rappresentano per il medesimo Interessato un unico beneficio.

In tale contesto l’interessato, reso edotto del percorso da intraprendere per ottenere il beneficio:

  • decide autonomamente di aderire all’iter;
  • segue le istruzioni che gli vengono comunicate da ciascuna Parte (pena la perdita del beneficio);
  • percepisce le attività erogate separatamente da ciascuna delle Parti come complementari e indispensabili al soddisfacimento del proprio bisogno e al raggiungimento del beneficio atteso.

Nell’ambito dello svolgimento dei propri trattamenti ciascuna Parte che:

  • decide autonomamente finalità e mezzi del trattamento;
  • pone in essere proprie misure giuridiche, tecniche, fisiche e logiche per l’adeguamento al GDPR;
  • rispetta l’insieme delle vigenti normativa;
  • e applicabili al proprio settore di appartenenza (comprese quelle specifiche normative di settore eventualmente non estensibili all’altra Parte);
  • riceve comunicazione dei dati personali direttamente dall’interessato;
  • fornisce la propria informativa direttamente all’interessato;

è qualificabile come “titolare autonomo del trattamento”.

Inoltre, qualora il completamento del processo richieda la comunicazione dei dati personali dell’interessato tra i 2 titolari autonomi, se tale comunicazione rappresenta un’attività “residuale” per la Parte che deve comunicare i dati all’altro titolare autonomo (essendo la comunicazione svincolata dalla sua attività principale).

Invece, se tale comunicazione prevede l’accesso della Parte al software dell’altro titolare autonomo, purché tale accesso sia circoscritto a specifiche funzionalità che non gli consentono di accedere ad informazioni ulteriori rispetto a quelle di cui già dispone circa l’interessato (segregazione dei poteri dell’utente) tale attività residuale non può comportare la nomina della Parte (quella che inserisce il dato a sistema per intenderci) a “responsabile del trattamento”, tenuto conto che il ruolo di “titolare autonomo del trattamento” comporta già una serie di obblighi più stringenti rispetto al ruolo di “responsabile esterno del trattamento”.

Le considerazioni sopra esposte esulano dalla risposta data dal Garante al quesito posto dal Consiglio nazionale dei consulenti del lavoro in merito all’autonoma titolarità nel trattamento dei dati (Doc. Web. 9081082 newsletter 07/02/2019) nell’ambito dell’attività di consulenza professionale.

Conclusioni

In presenza di un contratto tra 2 Parti che, per lo svolgimento della prestazione lavorativa principale, consenta a ciascuna Parte di decidere finalità e mezzi del trattamento propri, nonché di interfacciarsi direttamente e autonomamente con l’interessato, l’attribuzione del ruolo di titolare autonomo per entrambe le Parti permette, anche in un’ottica di accountability, di meglio regolamentare e monitorare il flusso gestionale delle attività, soprattutto in presenza di eventuali altre figure (es. sub-appaltatori).

@RIPRODUZIONE RISERVATA

Articolo 1 di 2