Il Regolamento UE prevede delle figure specifiche che ruotano attorno al mondo della protezione dei dati personali: il titolare del trattamento, il responsabile del trattamento, i soggetti autorizzati, gli interessati e il data protection officer.
Uno, nessuno, centomila. Le figure identificate dal Regolamento Europeo come responsabili della privacy e della protezione dei dati personali sono tante, milioni di milioni. L’incontro di questi soggetti comporta la necessità di adeguarsi alla normativa privacy, ma prima di tutto è necessario sapere quali sono i loro obblighi e i loro diritti.
Le figure della privacy: il titolare del trattamento
Il GDPR definisce il titolare del trattamento come la “persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Il titolare del trattamento quindi è colui che stabilisce come il trattamento debba essere eseguito, ossia le finalità, che sono le motivazioni alla base del trattamento stesso, e i mezzi, ossia gli strumenti utilizzati e utilizzabili per il trattamento.
Su di lui ricadono anche gli obblighi maggiori, quali comunicare, tramite l’informativa, agli interessati le modalità di trattamento dei loro dati e, nel caso, rispondere, sempre agli interessati, dei diritti loro esercitabili.
Le figure della privacy: il responsabile del trattamento
Il Regolamento UE fornisce anche in questo caso la definizione di responsabile del trattamento, ossia la “persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Si tratta di un soggetto esterno al titolare del trattamento, al quale, il titolare del trattamento, comunica alcuni dati per un determinato fine. Un classico esempio è il commercialista. Il responsabile del trattamento nei confronti del titolare del trattamento avrà determinati obblighi, quale quello di comunicazione tempestiva in caso di data breach.
Tra il titolare del trattamento e il responsabile del trattamento dovrà intercorrere una nomina, con la quale devono essere messe per iscritto le condizioni del trattamento dei dati effettuati. Si tratta a tutti gli effetti di un contratto con effetti obbligatori, che può tranquillamente essere incluso nel contratto di servizio tra le parti (magari con la forma di addendum), così come può essere anche stipulato separatamente. L’importante è che la nomina venga effettivamente fatta in tempi molto brevi, si potrebbe dire in contemporanea alla stipula del contratto di servizi, ma in ogni caso il responsabile deve essere nominato prima dell’inizio del trattamento.
Le figure della privacy: i soggetti autorizzati
I soggetti autorizzati sono, solitamente ma non esclusivamente, i dipendenti e collaboratori del titolare del trattamento, ossia soggetti che agiscono sotto la sua diretta autorità, quindi sottoposti alla sua direzione e controllo.
Il Regolamento privacy ci dice che queste persone possono trattare i dati esclusivamente dietro autorizzazione e istruzione del titolare del trattamento, per questo si rende necessario (anche se non obbligatorio) autorizzare tali soggetti tramite lettera di autorizzazione contenente le istruzioni, i limiti e (se possibile) i dati che possono essere trattati.
Tale autorizzazione, a differenza della nomina del responsabile del trattamento, non deve necessariamente avere forma contrattuale, bastando che il titolare possa dimostrare di aver consentito e istruito gli autorizzati.
A questo punto è necessario fare una precisazione: con il termine “istruzione” si intende il fatto di rendere edotto il soggetto in questione e per far ciò non è sufficiente fornire una serie di istruzioni operative, ma è necessario anche fornire una conoscenza (non per forza specifica, ma anche base) in materia di privacy e in tema di protezione dei dati personali (sia a livello fisico che informatico).
Le figure della privacy: gli interessati
Gli interessati sono i soggetti protetti dalla normativa privacy, ossia coloro cui i dati personali si riferiscono e che rendono identificati o identificabili.
Gli interessati sono i soggetti cui l’informativa deve essere comunicata prima dell’acquisizione dei loro dati. Tali soggetti sono titolari di una serie di diritti, esercitabili in qualsiasi momento e che fanno sorgere in capo al titolare del trattamento l’obbligo di risposta (risposta intesa non solo nel senso di risposta a una domanda, ma anche nel senso di attuazione del diritto), la quale dovrà in ogni caso essere tempestiva.
Le figure della privacy: il dpo
Il DPO (o Data Protection Officer o Responsabile della protezione dei dati) è una figura particolare nel mondo della protezione dei dati personali, in quanto i suoi compiti sono molteplici e diversi.
Si tratta di un soggetto con profonda conoscenza della normativa e della protezione dei dati in generale (quindi anche a livello informatico) che ha il compito generale di informare e fornire consulenza al titolare e al responsabile del trattamento e a tutti i soggetti loro collegati, di sorvegliare l’osservanza del regolamento da parte degli stessi soggetti, cooperare con l’autorità di controllo e fungere da punto di contatto tra la predetta autorità e il titolare.
Il DPO ha un ruolo molto importante anche nella valutazione dell’impatto di un trattamento, in quanto, se richiesto, può fornire un parere in merito alla DPIA (valutazione d’impatto).
Il ruolo può essere ricoperto sia da un soggetto esterno al titolare, quindi un professionista, sia da parte di un soggetto interno, quindi un dipendente o un collaboratore, ma in quest’ultimo caso, limitatamente alle questioni relative alla privacy, dovrà essere posto in condizioni di totale autonomia e quindi non essere sottoposto al potere di direzione e controllo del titolare.
Per questo motivo il Regolamento, all’art. 38.3, prevede che il DPO non possa in alcun modo essere penalizzato o rimosso dal titolare a causa dello svolgimento dei suoi compiti (si tratta di una sorta di protezione al fine di permettere la libera esecuzione del proprio compito).
Inoltre, il DPO, quando presente (non è una figura obbligatoria in tutti i casi) funge da collegamento tra gli interessati e il titolare del trattamento in quanto vi è l’obbligo di comunicazione dei suoi dati tramite l’informativa. In particolare, la presenza del DPO è necessaria quando il titolare del trattamento (o il responsabile del trattamento) effettui trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o quando vengano trattate categorie particolari di dati e/o dati giudiziari su larga scala, oppure quando il trattamento è effettuato da un’autorità pubblica.
Le figure della privacy: molte figure, poca chiarezza
Le figure del mondo della privacy sono molte, ma in alcuni casi è poco chiaro quale ruolo rivesta un particolare soggetto o entità. In particolare, il ruolo di responsabile del trattamento o di titolare del trattamento da parte di categorie professionali è stato a lungo dibattuto.
Tanto per fare un esempio, è stato questo il caso del medico del lavoro, che in un primo momento veniva designato quale responsabile esterno (la motivazione era che ricevesse alcuni dati dal datore di lavoro) ma che in fondo è stato qualificato quale titolare del trattamento dei dati dei suoi assistiti. Questo perché il datore di lavoro non poteva stabilire le finalità o i mezzi del trattamento dei dati, che dovevano essere stabiliti dal medico stesso.
L’attribuzione di un ruolo piuttosto che un altro a volte è molto chiaro e semplice, altre volte un po’ più complesso, ma è molto importante arrivare a stabilire con assoluta certezza quale sia, questo in quanto l’attribuzione di un ruolo sbagliato può comportare sanzioni da parte dell’autorità di controllo e nel caso di dubbi sarebbe meglio interpellare il Garante.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.