Profili organizzativi e responsabili: il punto di vista della normativa privacy

Redazione 27/01/22
Scarica PDF Stampa
di Gianpiero Uricchio

Soggetti data protection nel Regolamento UE 2016/679

Il Regolamento UE 2016/679 definisce diverse figure di responsabilità in base al tipo di trattamento. È importante, inizialmente, distinguere tre figure: Titolare del trattamento; Responsabile del trattamento; contitolare del trattamento. L’art. 4 comma 7 del Regolamento definisce il Titolare del trattamento come segue: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”1 . Il comma 8 dello stesso articolo 4, invece, definisce il Responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”2 . Infine, la figura del contitolare del trattamento è disciplinata, dall’articolo 26 comma 1 del Regolamento, come segue: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”3 . Altra figura importante, introdotta all’articolo 28 comma 4 del Regolamento è quella del sub-Responsabile del trattamento.

Questa figura è nominata quando un Responsabile nomina un altro Responsabile per determinate attività da svolgere per conto del Titolare. Il sub Responsabile è nominato tramite contratto con il quale gli sono imposti gli stessi obblighi, in materia di protezione dei dati personali, che sono imposti nel contratto tra Titolare e Responsabile, in particolare quando si parla di misure di garanzia per adottare ed attuare misure tecniche ed organizzative che rispettino quanto detto nel Regolamento. È importante subito fare una precisazione sulla terminologia utilizzata in quanto in fase di traduzione dall’inglese all’italiano ci sono state delle piccole modifiche. Infatti, facendo attenzione al testo originale del GDPR in inglese è possibile notare che il termine controller (in inglese), in italiano è tradotto Titolare del trattamento, mentre in realtà dovrebbe essere tradotto come Responsabile del trattamento; mentre il termine processor (in inglese) che in italiano è tradotto Responsabile del trattamento in realtà dovrebbe essere tradotto come sub Responsabile del trattamento.

Tale diversità si evince anche dal testo del GDPR in francese. Questa diversità di termini utilizzata nella traduzione in italiano trova la sua spiegazione nel fatto che in Italia dette figure erano già presenti nel codice privacy (d.lgs. 196/2003).

L’art. 26 del Regolamento UE 2016/679 disciplina la figura del contitolare del trattamento. Nello specifico, detto articolo definisce il contitolare come segue: “Allorché due o più Titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo tra[1]sparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”4 . Continuando nella definizione delle figure presenti nel Regolamento, al comma 17 dell’art. 4 del Regolamento troviamo la figura del rappresentante, inteso come la persona fisica o giuridica stabilita nell’Unione che rappresenta, il Titolare o il Responsabile (a seconda di chi lo ha designato ai sensi dell’art. 27 del regolamento), per quanto riguarda gli obblighi rispettivi a norma del Regolamento. Ancora, troviamo all’articolo 29 e 32 del Regolamento la figura della persona autorizzata al trattamento, cioè colui che agisce sotto l’autorità del Titolare o del Responsabile. Sul punto bisogna anche fare un riferimento all’articolo 2-quaterdecies del d.lgs. 101/2018 (decreto che ha modificato ed in parte abrogato il d.lgs. 196/2003) il punto di vista della normativa privacy 77 relativo all’attribuzione di funzioni e compiti a soggetti designati, secondo i quali i soggetti designati sono persone fisiche espressamente designate che operano sotto l’autorità diretta del Titolare o del Responsabile del trattamento a cui sono attribuiti compiti specifici. Infine, di seguito troviamo le altre figure disciplinate dal Regolamento UE 2016/679:

– interessato disciplinato dall’art. 4 comma 1: una persona fisica identificata o identificabile;

– autorità di controllo disciplinato dall’art. 4 comma 31: autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

– destinatario disciplinato dell’art. 4 comma 9 del Regolamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

– terzo, disciplinato dall’art. 4 comma 10 del Regolamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

– impresa, disciplinata dall’art. 4 comma 18 del Regolamento: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica; – gruppo imprenditoriale, disciplinato dall’art. 4 comma 19 del Regolamento: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate.

Si legga anche: “La responsabilità degli enti (Dlgs. 231/2001): fondamento giuridico e problematiche generali

Cosa cambia, quindi, rispetto al passato?

Il Regolamento UE 2016/679 ha introdotto una serie di novità.

In primis, disciplina la contitolarità del trattamento, che come abbiamo accennato prima è disciplinato dall’articolo 26 del Regolamento, e in particolare impone l’obbligo di definire il relativo ambito di attività e di responsabilità oltre che i compiti che ciascun contitolare svolge nelle attività di trattamento, senza però dimenticare che l’interessato può rivolger[1]si indipendentemente ad uno dei contitolari che comunque operano congiuntamente. Inoltre, il Regolamento ha modificato in modo sostanziale le modalità con cui il Titolare del trattamento nomina un responsabile. Infatti, il titolare nomina il Responsabile tramite contratto, ai sensi dell’articolo 28 del Regolamento, nel quale sono inserite le misure che il Responsabile deve adottare per essere conforme al Regolamento, ed inoltre nel contratto sono inseriti obblighi specifici in capo ai Responsabili, di[1]versi da quelli di pertinenza del Titolare, come per esempio la tenuta del registro dei trattamenti; fissa delle regole che il Responsabile deve rispettare nel caso in cui nomini un sub Responsabile. Infine, tra le novità più rilevanti del Regolamento, c’è anche la previsione di condizioni nuove per la nomina del rappresentante del Titolare del trattamento nel caso in cui non sia stabilito all’interno dell’Unione europea.

Il presente estratto è tratto da 

I rapporti tra normativa privacy e modello 231

Diventa ormai sempre più frequente il confronto tra la disciplina relativa al trattamento dei dati personali di cui al Regolamento UE 679/2016, e la disciplina della Responsabilità da reato ex d. lgs. 231/2001. Scopo del presente lavoro è quello di analizzare in parallelo le due normative, sottolineando ed approfondendo le similitudini tra il sistema di gestione ed organizzazione degli enti/società e le attività relative al trattamento dei dati personali.

20,90 €

Prezzo speciale  – SCONTO 5% – Anzichè 22,00 €

Redazione

Scrivi un commento

Accedi per poter inserire un commento