Il Regolamento UE 679/2016 individua diversi “attori” della privacy che agiscono in materia di trattamenti di dati personali, ciascuno con funzioni e compiti diversi
Gli attori in materia di trattamento di dati personali
Il Regolamento UE 679/2016 prevede e disciplina diverse figure, che possiamo considerare degli “attori” della privacy:
- l’interessato;
- il titolare del trattamento;
- il responsabile del trattamento;
- il sub-responsabile del trattamento;
- l’autorizzato al trattamento;
- il Data Protection Officer (spesso noto con la sigla DPO).
Cerchiamo ora di definire quali sono i ruoli dei vari attori coinvolti nel trattamento dei dati personali.
Gli interessati ed il titolare del trattamento
Innanzitutto, gli interessati sono persone fisiche, identificate o identificabili, ai quali si riferiscono i dati personali oggetto di trattamento.
Quindi l’interessato è una persona identificata o identificabile, cioè che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, generica, psichica, economica, culturale o sociale” (art. 4 Regolamento UE 679/2016).
L’interessato è, quindi, il destinatario della tutela predisposta dal Regolamento UE 679/2016 per quanto riguarda le operazioni di trattamento dei dati personali.
La normativa europea attribuisce specifici diritti all’interessato, il quale, per esercitarli, può rivolgersi direttamente al titolare del trattamento.
Alla luce della definizione data dal Regolamento UE 679/2016, così come precisato dal Considerando (26), i principi di protezione dei dati non si applicano alle informazioni anonime, che non si riferiscono a persone identificate o identificabili oppure a dati personali resi anonimi, tali da impedire quindi l’identificazione dell’interessato[1].
Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica o ogni altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, ossia “perché” e “come” devono essere trattati i dati.
Il Regolamento UE 679/2016 onera il titolare del trattamento al rispetto di tutti i principi applicabili al trattamento dei dati e prevede che costui debba essere in grado di “comprovarlo” (c.d. principio di accountability).
Per questa ragione, il titolare deve adottare misure di sicurezza idonee e adeguate a garantire (ed essere in grado di dimostrare) che il trattamento sia stata effettuato in conformità con quanto previsto dalla normativa europea e che le misure messe in atto siano efficaci.
La tutela dei diritti degli interessati, quindi, richiede l’adozione di misure tecniche ed organizzative idonee, attraverso politiche interne e misure che soddisfino i principi della protezione dei dati.
Il responsabile del trattamento ed il sub-responsabile
Il titolare del trattamento può ricorrere ad un soggetto (persona fisica o giuridica, autorità pubblica, o un altro organismo) che tratti per suo conto dati personali, il c.d. responsabile del trattamento.
Il Regolamento UE 679/2016 prevede che il titolare si avvalga di responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento stesso e che garantiscano la tutela dei diritti dell’interessato.
I trattamenti che il responsabile effettua – necessariamente su istruzione documentata del titolare – sono disciplinati da un apposito contratto o un altro atto giuridico, che:
- vincola il responsabile del trattamento al titolare del trattamento;
- circoscrive la materia disciplinata;
- stabilisce la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto o altro atto giuridico può anche basarsi su clausole contrattuali tipo adottate dalla Commissione Europea o da un’autorità di controllo e deve prevedere che il responsabile:
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti le misure per garantire un livello di sicurezza adeguato al rischio;
- assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile;
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi posti a suo carico rispetto al rapporto con il responsabile e contribuisca alle attività di revisione realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Il responsabile, a sua volta, può ricorrere ad un altro responsabile ossia il c.d. sub responsabile del trattamento, solo qualora vi siano un’autorizzazione scritta, specifica o generale, del titolare del trattamento a procedere in tal senso.
L’autorizzato al trattamento
Pur non prevedendo espressamente la figura dell’autorizzato al trattamento (originariamente previsto dall’art. 30 del Codice Privacy), il Regolamento UE 679/2016 non ne esclude la presenza in quanto, all’art. 4 n. 10) fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile“.
Il Codice Privacy, novellato dal D. Lgs. n. 101/2018, ha invece introdotto l’art. 2 quaterdecies in cui è espressamente prevista la figura del “designato”: una persona fisica che opera sotto l’autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni. Si tratta quindi di una persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Come abbiamo visto, il Regolamento UE 679/2016 non impone alcun obbligo di nomina o designazione espressa, tuttavia è fondamentale fornire agli autorizzati le istruzioni operative e la necessaria formazione.
La normativa non prevede dei requisiti per essere considerati “autorizzati”: anche la semplice presa visione di un dato personale si qualifica come trattamento.
Il Data Protection Officer
Un altro “attore” della privacy è il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).
Il Regolamento UE 679/2016 prevede un elenco di casi in cui la nomina di un DPO è obbligatoria, ossia qualora:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il DPO agisce in piena autonomia e indipendenza e senza alcun vincolo rispetto al titolare e al responsabile del trattamento.
Il DPO, infatti, deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti alla protezione dei dati personali, devono essergli fornite le risorse necessarie per assolvere i suoi compiti, accedere ai dati personali e al loro trattamento e mantenere la propria conoscenza specialistica della normativa in materia di protezione di dati personali e può essere contattato dagli interessati per le questioni relative al trattamento dei loro dati personali o all’esercizio dei loro diritti.
L’art. 39 del Regolamento UE prevede che il DPO debba essere incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE, nonché da altre disposizioni in materia;
- sorvegliare l’osservanza del Regolamento UE 2016/679, di disposizioni in materia nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con il Garante;
- rappresentare il punto di contatto per il Garante per questioni connesse al trattamento.
Informazioni
Decreto Legislativo n. 196/2003
Decreto Legislativo n. 101 del 2018
Regolamento (UE) 679/2016
[1] Per un approfondimento circa le tecniche, ambiti e rischi applicativi relativi a pseudonimizzazione e anonimizzazione dei dati personali si veda: https://www.dirittoconsenso.it/2022/01/13/pseudonimizzazione-e-anonimizzazione-dei-dati/
Sara Della Piazza
Ciao, sono Sara. Ho studiato presso l'Università degli Studi di Milano Bicocca e ho conseguito la laurea in Giurisprudenza con una tesi in diritto penale dell'informatica dal titolo "Rivoluzione digitale e diritto d'autore: evoluzione normativa, violazioni online e strumenti di protezione". Attualmente svolgo la pratica forense presso uno studio legale. Sono una persona dinamica, sempre alla ricerca di stimoli e appassionata del diritto in tutte le sue forme.
