Il titolare del trattamento
Il titolare del trattamento è definito come
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
In altri termini, il titolare decide il “perché” e il “come” del trattamento”.
Il provvedimento del Garante del 09.12.1997
Il Garante nelle “Precisazioni si è espresso sulla figura del titolare” con il provv. 9.12.1997 partendo dalla definizine di titolare presente nella legge del 1996. Vediamo i punti salienti del provvedimento.
Chi è il “Titolare” del Trattamento dei Dati?
Secondo la legge, il “titolare” è l’individuo o l’entità responsabile di prendere le decisioni fondamentali riguardanti il trattamento dei dati, determinando come e perché vengono trattati.
Il titolare
- può essere una persona fisica o giuridica, una pubblica amministrazione o qualsiasi altro ente, associazione o organismo.
- è colui che definisce le finalità e i mezzi del trattamento dei dati personali.
È importante sottolineare che questa definizione non si applica a coloro che gestiscono o rappresentano un’entità legale, un’organizzazione pubblica o un’istituzione.
Interpretazione Errata
Alcuni potrebbero pensare che il riferimento a “persona fisica” nella definizione di “titolare” si riferisca a coloro che rappresentano un’entità, come un amministratore delegato o un ministro. Tuttavia, questa interpretazione non è corretta.
Le persone fisiche che lavorano all’interno di una persona giuridica o di un’organizzazione possono svolgere ruoli importanti, ma non sono considerate titolari del trattamento dei dati.
Questi individui sono invece definiti come “soggetti designati” dal nostro Codice Privacy e sono considerati incaricati del trattamento dei dati personali. Essi agiscono sotto l’autorità del titolare o del responsabile e seguono le relative istruzioni. La loro attività è coordinata nell’ambito e nell’interesse dell’entità o dell’organizzazione.
Il termine “persona fisica” si riferisce a individui che gestiscono i dati a titolo personale, come un libero professionista o un piccolo imprenditore.
Il “Titolare” in un’Organizzazione
Il “titolare” è l’entità organizzativa responsabile delle scelte fondamentali riguardanti la raccolta e l’utilizzo dei dati.
Ad esempio, in una società, il “titolare” sarebbe la stessa società e non una singola persona fisica come l’amministratore delegato o il presidente.
Pertanto, la responsabilità del trattamento dei dati ricade sull’organizzazione nel suo complesso e non sulle singole persone fisiche che la amministrano o la rappresentano.
Le figure di rilievo all’interno di un’entità, come l’amministratore delegato, il ministro, il direttore generale, il presidente o il legale rappresentante, contribuiscono a esprimere la volontà dell’entità o sono autorizzate a manifestarla all’esterno. Tuttavia, non sono considerate titolari del trattamento dei dati.
Il considerando n. 74
Il concetto di titolare serve ad individuare il soggetto che risponderà dell’osservanza delle norme relative alla protezione dei dati. Ed infatti, il Considerando 74 del GDPR specifica che il titolare del trattamento dovrebbe essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure.
(74) E’ opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
Eccezioni
Tuttavia, se una singola direzione o area all’interno di un’organizzazione ha un potere decisionale reale e autonomo sulle finalità e sulle modalità del trattamento dei dati, quella direzione o area potrebbe essere considerata come “titolare” del trattamento dei dati.
le Linee Guida 07/2020
Sulla nozione di titolare del trattamento, è altresì utile consultare le Linee Guida 07/2020 sui concetti di titolare e responsabile nel GDPR, adottate dall’European Data Protection Board (per brevità, “EDPB”), adottate il 2.9.2020.
Il documento “Linee guida sul concetto di titolare e responsabile del trattamento” fornisce una serie di indicazioni e chiarimenti riguardo ai ruoli e alle responsabilità dei titolari, secondo quanto previsto dal GDPR. Ecco un riassunto dei punti chiave:
- Il titolare del trattamento è responsabile di garantire il rispetto dei principi relativi al trattamento dei dati personali, come stabilito dall’articolo 5 del GDPR, ed è in grado di dimostrarlo. l
- l titolare è il soggetto che determina gli aspetti chiave del trattamento, incluse le finalità e i mezzi del trattamento, anche se alcuni aspetti concreti del trattamento possono essere ceduti alla decisione di soggetti definiti responsabili;
- Il concetto di titolare del trattamento può essere collegato a una singola operazione di trattamento o a una serie di operazioni. In pratica, il controllo esercitato da un determinato soggetto può estendersi alla totalità del trattamento in questione, ma può anche essere limitato a una fase specifica dello stesso.
- Un trattamento di dati personali che coinvolge più soggetti può essere suddiviso in più operazioni di trattamento per ciascuna delle quali ognuno di tali soggetti potrebbe essere considerato titolare, ossia colui che determina la finalità e i mezzi nel singolo caso.
- L’esistenza di una responsabilità congiunta non implica necessariamente pari responsabilità dei vari operatori coinvolti nel trattamento dei dati personali. Il livello di responsabilità di ciascuno di essi deve essere valutato alla luce di tutte le circostanze pertinenti del caso di specie.
- Una contitolarità del trattamento sussiste allorquando soggetti coinvolti nel medesimo trattamento lo effettuano per finalità definite congiuntamente. Ciò avviene se i soggetti in questione trattano i dati per le medesime finalità o per finalità comuni.
- L’accordo tra i contitolari del trattamento deve definire in modo chiaro e trasparente le rispettive responsabilità in materia di conformità con il GDPR, in particolare per quanto riguarda l’esercizio dei diritti dell’interessato, le procedure di notifica in caso di violazione dei dati personali e le misure di sicurezza.
Come identificare il titolare del trattamento
La titolarità potrebbe essere definita per legge oppure potrebbe derivare dall’analisi delle circostanze del caso concreto.
L’EDPB ha chiarito che per determinare la qualifica di un soggetto rispetto a un trattamento dati, è necessario adottare un approccio basato sui fatti e non solo sulla forma, utilizzando alcuni criteri chiave per stabilire tale qualifica.
Criterio del rapporto diretto con i soggetti interessati
Quando c’è un rapporto diretto tra il soggetto che tratta i dati e le categorie di soggetti interessati, come ad esempio un rapporto contrattuale, è molto probabile che il soggetto che tratta i dati sia rappresentato da una figura di alto livello, come l’amministratore delegato. Tali soggetti sono da considerarsi meri incaricati del trattamento, che agiscono “sotto l’autorità” del titolare o del responsabile, seguendone le relative istruzioni. Tali individui sono espressamente definiti dal nostro Codice Privacy come “soggetti designati” (cfr. art. 2-quaterdecies Codice Privacy).
Criterio dell’obbligo di legge
In alcuni casi, la legge specifica esplicitamente una categoria di soggetti come titolari del trattamento per determinate attività.
In questo caso il ruolo di titolare può essere dedotto dal fatto che la legge impone a un determinato soggetto specifici obblighi che implicano il trattamento di dati personali. Anche se la legge non designa esplicitamente il titolare come tale, l’attribuzione di determinati obblighi e compiti implica implicitamente la qualifica di titolare.
In altre parole, la legge stessa descrive le finalità del trattamento, che coincidono con l’adempimento di un dato obbligo normativo. Il soggetto a cui è imposto tale obbligo non può che agire come titolare del trattamento, perché la conformità a quel determinato obbligo coincide con una sua finalità di trattamento e non certo con quella di un terzo. A volte, gli obblighi imposti dalla legge sono relativi alla protezione dei dati, altre volte sono obblighi normativi relativi ad altre materie.
Il criterio delle finalità del trattamento
Il titolare del trattamento dei dati personali è la persona o l’organizzazione che decide di avviare e gestire il trattamento dei dati personali per specifiche finalità.
Il criterio dei mezzi del trattamento
Il titolare del trattamento è anche colui che decide i mezzi attraverso cui operare. Per “mezzi” non si deve intendere i soli mezzi tecnici (e.g. strumenti, piattaforme, etc.), ma le modalità del trattamento in senso più ampio.
Criterio dei benefici e finalità distinte derivanti dal trattamento (gli autonomi titolari del trattamento)
Le aree più dubbie e grigie si determinano rispetto a quei soggetti che non raccolgono i dati direttamente dagli interessati, ma li ricevono da soggetti terzi.
Autonoma titolarità
Un esempio di autonomia nella gestione dei dati personali può essere osservato nelle attività delle autorità amministrative.
In particolare, le organizzazioni sottoposte alla loro attività di monitoraggio devono comunicare informazioni che possono contenere dati personali, come ad esempio informazioni fiscali.
Tuttavia, le autorità trattano i dati personali ricevuti per finalità diverse da quelle dei soggetti che li trasmettono. Infatti, questi ultimi inviano le informazioni contenenti dati personali per rispettare un obbligo normativo, mentre le autorità utilizzano tali dati per finalità di controllo o altre finalità statali.
In questo modo, le finalità delle parti sono chiaramente distinte e definite in base alle rispettive competenze.
Anche nei rapporti tra privati, ci sono numerose situazioni in cui lo scambio di dati sottende a finalità differenti dei due titolari, di solito di natura commerciale. Si vedano i seguenti esempi pratici di seguito.
Esempi
Il ruolo dell’OdV
Il Garante Privacy ha chiarito che gli Organismi di Vigilanza non possono essere considerati titolari autonomi o responsabili del trattamento dei dati personali, nonostante agiscano con autonomia decisionale. Inoltre, i membri dell’OdV devono essere designati come “soggetti autorizzati” dall’ente e devono attenersi alle istruzioni del titolare. (fonte: “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”, doc. web 9347842)
Datori di lavori e compagnie assicurative
Nel caso in cui il datore di lavoro affidi a una compagnia assicurativa la gestione delle coperture assicurative dei propri dipendenti, la compagnia assume un ruolo attivo nel rapporto assicurativo e ha ampia autonomia decisionale nella gestione dei sinistri. Il datore di lavoro e la compagnia assicurativa perseguono scopi distinti nel trattamento dei dati e devono essere considerati come titolari autonomi. Lo stesso vale per i soggetti con cui il datore di lavoro stipula convenzioni, come palestre o negozi, con i quali i dipendenti stabiliscono un rapporto separato in modo volontario
Fornitori di servizi di pagamento
La società di e-commerce detiene i dati degli utenti e delle carte di pagamento. Il fornitore di servizi di pagamento collabora con il titolare della piattaforma e gli utenti per gestire i pagamenti, detenendo i dati finanziari del soggetto che effettua il pagamento per adempiere ai suoi obblighi di legge. I fornitori di servizi di pagamento sono considerati titolari del trattamento e devono rispettare specifici obblighi di privacy stabiliti dalla normativa di settore. La protezione dei dati deve essere integrata in tutti i sistemi di trattamento dei dati utilizzati nella piattaforma.
Il medico del lavoro
Il medico competente in materia di igiene e sicurezza dei luoghi di lavoro ha il compito di svolgere la sorveglianza sanitaria obbligatoria sui lavoratori.
Questo significa che effettua accertamenti preventivi e periodici sui lavoratori, curando l’aggiornamento di una cartella sanitaria e di rischio che viene custodita presso l’azienda o l’unità produttiva, con salvaguardia del segreto professionale.
È il medico competente, quindi, a trattare i dati sanitari dei lavoratori, annotandoli nelle cartelle sanitarie e di rischio e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate.
Il datore di lavoro non ha accesso alle cartelle sanitarie, poiché il medico competente è il soggetto deputato a trattare i dati sanitari dei lavoratori. Il datore di lavoro, tuttavia, è tenuto ad adottare le misure preventive e protettive per i lavoratori interessati, su parere del medico competente, ma non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa quadro della presente direttiva.
Stabilimento principale
Strettamente connessa alla definizione di titolare del trattamento, quella di stabilimento principale indicata all’art. 4, par. 1, n. 16.
se il titolare ha più stabilimenti nel territorio dell’Unione, deve considerarsi “principale” il luogo in cui ha sede la sua amministrazione centrale nell’Unione.
Il titolare che non accede ai suoi dati
Da ultimo, una precisazione fondamentale del Comitato europeo è in riferimento al fatto che per qualificare un dato soggetto come titolare del trattamento non è necessario che questi abbia un effettivo accesso ai dati, in linea con quanto la Corte di Giustizia aveva affermato. Ne avevamo parlato anche qui
Ad esempio, nel caso in cui il trattamento, sin dalla fase di raccolta dei dati, venga affidato in toto a un terzo, senza che si venga mai in contatto diretto con i dati in questione. In tali casi, il soggetto che affida il trattamento al terzo non potrà limitarsi a sostenere “non vedo i dati e dunque non li tratto”. Dovrà domandarsi se, pur non accedendo ai dati, ha dato avvio di propria iniziativa al trattamento e ne ha tratto beneficio. Il controllo, quindi, si può esercitare a prescindere dal ruolo operativo sui dati.
ì
