Chi è il titolare del trattamento dati gdpr?
Per istinto si potrebbe pensare che sia il possessore dei dati che vengono trattati, ma non è così. Infatti la persona fisica i cui dati personali vengono trattati si chiama interessato al trattamento.
Il titolare del trattamento è colui che decide le finalità per cui i dati saranno trattati e i mezzi per farlo. Quindi al di sopra di lui non c’è nessuno. Da questo potere decisionale scaturiscono una serie di responsabilità che vedremo nei dettagli.
CONTENUTO DELL'ARTICOLO
Titolare del trattamento gdpr: chi è?
Il titolare trattamento dati può essere una persona fisica o giuridica, ma può essere anche un organismo o un ente pubblico.
Alcuni esempi di titolari del trattamento gdpr nell’ambito del digital possono essere:
- proprietario di un sito web
- professionista che tratta i dati dei suoi clienti
- i social network che trattano i dati degli iscritti
Non è stato da subito così chiaro chi fosse il titolare del trattamento, a causa della difficoltà di tradurre in italiano il concetto di “data controller”, che è il nome originale dato a questa figura dal gdpr. Inoltre sorgono numerose criticità interpretative attorno anche alle altre figure cardine responsabili dell’applicazione della normativa privacy.
Per questo motivo la Commissione Europea, quando ha emesso le nuove linee guida alla fine del 2020, ha dedicato una sezione del documento per chiarire ancora meglio chi sono il titolare, il co-titolare e il responsabile del trattamento dati:
Titolare trattamento dati e co-titolare trattamento dati
Il gdpr stabilisce che c’è contitolarità nel trattamento dati quando due soggetti fisici o giuridici decidono insieme la finalità e i mezzi del trattamento, senza che un soggetto sia subordinato all’altro. La contitolarità deve essere stabilita a mezzo contrattuale, e gli interessati al trattamento ne devono essere messi a conoscenza affinché possano rivolgersi indifferentemente all’uno o all’altro.
Non è facile capire in concreto chi è il co-titolare del trattamento dati. Le nuove linee guida emesse dal Comitato Europeo per la Protezione dei Dati (EDPB) chiariscono che un criterio per stabilire che c’è contitolarità del trattamento quando non è possibile scindere il trattamento dei dati: un titolare del trattamento non può trattare i dati se non lo fa anche l’altro.
Ascolta il podcast
Titolare del trattamento gdpr e responsabile del trattamento gdpr
Il titolare del trattamento dei dati designa il responsabile del trattamento attraverso un contratto. La mancanza del contratto è oggetto di sanzione.
Tuttavia i ruoli delle due figure non sono determinati dall’accordo scritto, ma dal ruolo effettivo che svolgono. Il titolare del trattamento può anche non avere un accesso diretto ai dati, l’importante è che abbia stabilito perché trattare i dati e come farlo. Invece l’accesso ai dati è una caratteristica fondamentale per il responsabile del trattamento, visto che è colui che tratta i dati secondo le direttive del titolare. Il responsabile del trattamento, a differenza dell’autorizzato, ha un margine di discrezionalità e responsabilità sia in solido con il titolare, che sue proprie.
Invece l’autorizzato al trattamento, ha un ruolo e responsabilità molto limitati. Per eventuali azioni non conformi al gdpr risponde il titolare del trattamento dati. L’autorizzato infatti è un mero esecutore. Può essere ad esempio il dipendente di un’agenzia di comunicazione.
Titolare privacy e responsabile sono entrambi figure fulcro della corretta messa in pratica del gdpr, e ne rispondono entrambi.
Il responsabile del trattamento deve attenersi alle indicazioni del titolare del trattamento. Nel momento in cui va oltre, non solo commette una violazione del gdpr, ma diventa a sua volta titolare di fatto del trattamento per quelle finalità e modalità che eccedono quelle per cui ha ricevuto l’incarico.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Titolare del trattamento gdpr: le responsabilità
Il titolare del trattamento dei dati personali è la figura cardine da cui dipende la corretta applicazione dei principi della legge sulla privacy.
Infatti il titolare trattamento dati personali è il soggetto che decide quali dati trattare. Non può deciderlo con discrezionalità, ma deve attenersi all’applicazione del principio di minimizzazione. Questo principio stabilisce che possono essere richiesti solo i dati necessari all’espletazione delle finalità per cui sono richiesti.
Nel decidere le modalità di trattamento dei dati, il titolare del trattamento gdpr deve considerare due aspetti:
- ridurre al minimo il rischio di violazione dei dati:
- Decide quali mezzi utilizzare per trattare i dati, facendo una valutazione di rischio. Deve scegliere quindi quei software e mezzi digitali più sicuri in relazione alla situazione specifica, e deve essere pronto ad adottare nuove misure tecniche e organizzative, nel momento in cui ci saranno miglioramenti tecnologici che danno una maggior sicurezza.
- È responsabile della decisone se effettuare la valutazione d’impatto (DPIA) oppure no, laddove non è obbligatoria. Qui entra in gioco l’applicazione dei principi di privacy by design e privacy by default.
- messa in pratica dei principi che sono alla base del trattamento dati:
- liceità e correttezza
- trasparenza
- esattezza
- integrità e riservatezza
- limitazione della conservazione
- minimizzazione come abbiamo già visto
Il titolare dati personali decide se è il caso di tenere un registro del trattamento quando non è obbligatorio. Se il registro è presente, è anche responsabile del suo aggiornamento e della corretta conservazione.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
Titolare del trattamento gdpr: le difficoltà
È evidente che quando è stata pensata la figura del data controller, si è preso come riferimento aziende ben strutturate, con un alto livello di conoscenze legali, oppure con all’interno risorse in grado di formarsi per adempiere costantemente a tutti gli obblighi previsti dal gdpr.
Se pensiamo al piccolo commerciante che apre l’e-commerce, o al libero professionista che mette online i propri servizi, è difficile che possa applicare con facilità i principi stabiliti dalla legge sulla privacy. Infatti, come è evidente, non si tratta solo di mettere il sito web a norma di gdpr, ma anche di acquisire un vero e proprio mindset legale.
In alcuni casi viene in soccorso il DPO, cioè una figura esterna o interna all’azienda, che supporta il titolare del trattamento in tutto il processo per trasformare l’azienda affinché sia gdpr compliant. Ma anche questa soluzione, che è obbligatoria solo per alcuni casi specifici, non è alla portata delle piccole e medie imprese, che rappresentano la maggior parte delle realtà italiane.
Dalla teoria alla concretezza: il principio di accountability
Si potrebbe pensare che tutte queste responsabilità del data controller siano pura teoria. Come si fa a dimostrare che il titolare trattamento dati non ha agito in conformità al gdpr?
Gli ideatori della normativa privacy hanno pensato anche a questo, introducendo un principio assolutamente nuovo: l’accountability.
Cosa significa accountability?
Accountability può essere tradotto in italiano come principio di responsabilizzazione. In concreto significa che è onere del titolare del trattamento dimostrare di aver agito in conformità al gdpr.
Quindi ne consegue che il titolare trattamento dati deve adottare le procedure che consentono il tracciamento di tutto l’iter di acquisizione del consenso.
Ma non solo: il titolare è anche tenuto a dimostrare, in caso ad esempio di data breach, di aver preso tutte le misure idonee a ridurre al minimo il rischio di violazione dati. Quindi deve conservare ogni prova documentale che lo scagiona da qualsiasi accusa di negligenza. In particolare il riferimento va alla valutazione d’impatto che viene fatta nel momento in cui si decidono i mezzi da utilizzare per trattare e conservare i dati.
Titolare del trattamento: l’importanza della formazione
Tutto quanto detto ci induce ad affermare che per essere gdpr compliant non basta mettere a norma il sito web con cookie policy e informativa privacy.
E non c’è solo neppure solo il gdpr on-line, ma anche il gdpr off-line che riguarda tutta la documentazione che deve essere aggiornata e conservata in maniera adeguata.
Obiettivo del gdpr è far sì che l’applicazione della normativa non sia pura teoria, ma sia effettiva. Per questa ragione deve essere messa in conto anche la parte di formazione di tutti coloro che trattano i dati.
È compito del DPO provvedere alla formazione laddove è previsto come obbligatorio, o comunque viene nominato.
In tutti gli altri casi è un servizio che deve essere richiesto al legale di fiducia che si occupa della messa a norma di gdpr del sito, e più in generale dell’azienda.
Devono essere adeguatamente formati tutti coloro che trattano i dati: dal titolare del trattamento, ai responsabili fino ai soggetti autorizzati al trattamento dati.
Ricordiamo infatti che la legge non ammette ignoranza, quindi se in un form di contatto vengono chiesti all’utente dati che vanno al di là del minimo stretto necessario, il titolare del trattamento rischia di doverne rispondere.
Facciamo un esempio:
spesso ultimamente vediamo che molti formatori chiedono il numero di telefono per l’iscrizione ad un webinar. In questo caso il principio di minimizzazione non viene rispettato. Infatti per l’iscrizione al webinar è necessaria e sufficiente la mail. Si può chiedere il numero di telefono esplicitando che è per per finalità di marketing. Ovviamente l’utente sarà poi libero di chiedere in qualsiasi momento la cancellazione del dato.
Stiamo poi attenti ai sondaggi: un sondaggio lanciato per conoscere gusti, orientamenti politici o sessuali, stato di salute, sfocia nel trattamento dei c.d. dati “particolari” (meglio conosciuti come dati sensibili) che possono essere trattati solo da soggetti specifici e per determinate finalità stabilite dal gdpr. Per un semplice sondaggio si rischiano sanzioni molto alte.
Quindi la formazione è importante tanto quanto la messa a norma del sito.
Conclusione titolare del trattamento dati
Cosa significa adeguarsi al gdpr?
Anche questo articolo ci dimostra che l’adeguamento al gdpr non è una mera formalità, ma è un processo che coinvolge tutta l’azienda. È importante l’adeguamento del sito web, così come la formazione.
Come fai a sapere di cosa ha bisogno la tua azienda?
È sufficiente chiedere una consulenza gdpr al legale specializzato, per orientarsi su ciò di cui abbiamo bisogno.
Il nostro studio legale oltre ad occuparsi della redazione del gdpr on-line e off-line effettua formazioni one to one, personalizzate a seconda delle esigenze del cliente.