Siamo al quinto appuntamento con la rubrica di approfondimento relativa al nuovo Regolamento europeo in materia di protezione dei dati personali e alle Linee Guida del Garante della Privacy[1], volta a fornire agli operatori del settore alcuni chiarimenti in merito alle principali novità del Regolamento.
Titolare, responsabile e incaricato
Secondo l’attuale Codice Privacy il titolare del trattamento è “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (Codice Privacy, art. 4, comma 1 lettera f): si tratta quindi del soggetto che decide le finalità e le modalità del trattamento, ed è tenuto al rispetto di tutti gli obblighi previsti dalla normativa in materia di protezione dei dati personali.
La disciplina vigente definisce invece il responsabile come: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali” (Codice Privacy, art. 4, comma 1 lettera g).
Infine, il Codice si riferisce alla figura dell’Incaricato come alla “person[a] fisic[a] autorizzat[a] a compiere operazioni di trattamento dal titolare o dal responsabile” (Codice Privacy, art. 4, comma 1 lettera h).
Sarà interessante, in quest’occasione, approfondire alcune novità del GDPR legate alle figure del titolare e del responsabile del trattamento.
Per quanto riguarda la definizione di titolare, infatti, il Regolamento non si discosta eccessivamente dalla normativa vigente: allo stesso tempo, tuttavia, introduce una novità interessante connessa a questa figura, regolando espressamente, a differenza del Codice, l’ipotesi di contitolarità del trattamento. Il GDPR, peraltro, non fa più riferimento alle misure di sicurezza all’interno della nuova definizione di tale soggetto.
In merito invece al ruolo del responsabile del trattamento il Regolamento omette il riferimento, presente invece nel Codice, alla “preposizione” di questo soggetto ad opera del titolare.
Infine, per quanto riguarda la figura dell’incaricato, quest’ultima, pur non essendo espressamente prevista, non è esclusa dal Regolamento, il quale prende in considerazione le “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (articolo 4, n.10 del Regolamento).
La contitolarità
La contitolarità, realizzabile anche in vigenza del Codice ma soltanto grazie all’interpretazione che di quest’ultimo ha offerto il Garante, è ora specificatamente disciplinata dall’articolo 26. Secondo questo articolo, quindi, nel momento in cui due o più titolari decidono di determinare congiuntamente le finalità e i mezzi del trattamento, essi sono tenuti a stipulare un accordo interno sulle rispettive responsabilità, con particolare riguardo:
- all’esercizio dei diritti dell’interessato, che potrebbe a questo punto esercitarli nei confronti di e contro entrambi i soggetti, che, infatti, sono anche corresponsabili, e
- alle rispettive funzioni di comunicazione delle informazioni.
Responsabile del trattamento
Per quanto riguarda il responsabile, il mancato riferimento alla “preposizione” da parte del titolare: risulta di rilevante importanza per la industry, in quanto, sulla base dell’articolo 28 del GDPR, è ora possibile per il responsabile del trattamento nominare a sua volta soggetti subresponsabili, per specifiche attività di trattamento e nel rispetto degli stessi obblighi contrattuali che legano il titolare e il responsabile primario.
Questa novità facilita notevolmente l’attività dei responsabili inseriti in una cosiddetta “filiera”, soprattutto considerando l’impossibilità di procedere ad una subnomina di questo tipo in vigenza dell’attuale Codice Privacy che, a causa del riferimento di cui sopra, è stato interpretato dal Garante in modo tale da “…preclu[dere] ad un responsabile [di] procedere, a sua volta, alla nomina di un altro responsabile: vi ostano le previsioni di cui agli artt. 4, comma 1, lett. g) e 29, comma 1 del Codice, che attribuiscono tale facoltà esclusivamente al titolare.” (Provv. del 20 febbraio 2014, doc. web n. 1857326).
Il responsabile che si avvale della subnomina risponde di conseguenza al titolare dell’inadempimento del subresponsabile, anche per quanto riguarda il risarcimento di eventuali danni, a meno di riuscire a dimostrare che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82 del Regolamento).
La subnomina potrà inoltre essere non solo specifica, ossia contenente una preventiva indicazione dell’eventuale soggetto subresponsabile già all’interno dell’atto di nomina del responsabile, ma potrà avere anche portata più ampia, costituendo una sorta di procura generale a nominare ulteriori responsabili. Residua tuttavia, a protezione del sistema, la possibilità del titolare di opporsi ad eventuali subnomine “sgradite”.
Di conseguenza potrebbero risultare ipotizzabili, una volta che il Regolamento diventerà applicabile e in assenza di ulteriori indicazioni delle Autorità nazionali o europee, anche strutture più “stratificate”, composte da una concatenazione di subnomine e all’interno delle quali ogni soggetto della filiera potrà fornire istruzioni dirette a quello appartenente al livello immediatamente inferiore.
Il Regolamento, che specifica in maniera più dettagliata anche i requisiti che deve presentare l’atto di nomina del responsabile, prevede obblighi specifici in capo a questa figura che ricalcano quelli del titolare, quali la tenuta di un registro dei trattamenti svolti, l’adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la designazione di un Data Protection Officer (il DPO, la cui funzione sarà approfondita nel corso di questa rubrìca), nei casi espressamente previsti.
Inoltre, anche il responsabile, così come il titolare, dovrà designare un rappresentante in Italia quando sia stabilito fuori dall’Unione Europea ma, in ragione della propria attività, i) offra beni e servizi a interessati che si trovino in Italia o ii) monitori il comportamento degli interessati avente luogo in Italia.
Dipartimento ICT&IP – Studio Legale DGRS
