Nomi, dati biometrici o inerenti alla salute, nonché indirizzi IP, indirizzi email personali, opinioni politiche e orientamento sessuale sono tutti esempi di dati personali.
I dati personali nel contesto del GDPR sono informazioni relative a una persona vivente identificata o identificabile, ovvero dati che se raccolti insieme possono portare alla sua identificazione.
Per questo, nasce la necessità di trattare con cautela i dati personali di utenti e clienti e di tutte quelle persone i cui dati sono trattati da un titolare o responsabile del trattamento.
Ma chi è il titolare del trattamento GDPR e quali sono i suoi obblighi? Scopriamolo insieme in questo articolo.
Chi è il titolare del trattamento GDPR
Definito dal GDPR, il titolare del trattamento è la persona fisica o giuridica o qualsiasi altro organismo che, singolarmente o insieme ad altri, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali effettuato è conforme alla normativa.
Oltre a determinare le finalità e i mezzi del trattamento di dati personali, egli riesamina e aggiorna tali misure qualora fosse necessario.
Molte di queste misure sono nuove rispetto alla precedente normativa, come:
- l’esecuzione della valutazione d’impatto sulla protezione dei dati;
- la designazione di un responsabile della protezione dei dati;
- la definizione di comunicazioni trasparenti da fornire all’interessato.
Differenza tra titolare e responsabile
In sostanza, il titolare del trattamento è colui che decide “perché” e “come” devono essere trattati i dati, ovvero colui che decide motivo e modalità di trattamento.
Tuttavia, la Corte di Giustizia europea (CGUE) ha precisato che il ruolo di titolare va deciso guardando alla situazione concreta, tenendo presente che spesso alcune decisioni possono essere delegate a terzi.
In merito, si può distinguere due tra:
- mezzi essenziali – strettamente legati allo scopo e alla portata del trattamento, e quindi riservati al titolare
- non essenziali – riguardano gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software, o specifiche misure di sicurezza, e possono essere definiti anche dal responsabile.
Il responsabile della protezione dei dati (DPO) è, infatti, una figura professionale che ha il compito di valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione affinché questi siano trattati in modo lecito e pertinente.
Contitolarità del trattamento
Secondo l’art. 26 del GDPR è possibile coesistano più titolari del trattamento, ovvero due o più titolari che decidono congiuntamente le finalità e i mezzi del trattamento dei dati personali.
In tale caso la normativa impone loro di definire specificamente, con un atto giuridicamente valido, i rispettivi ruoli e i rapporti dei contitolari con gli interessati.
Titolare nel settore privato
Per quanto riguarda un privato che effettua un trattamento di dati a fini esclusivamente personali, egli non rientra nell’ambito applicativo della direttiva europea in materia di protezione dei dati perciò non assume la qualifica di titolare.
Tuttavia, la CGUE ha stabilito comunque che la pubblicazione di dati altrui su Internet costituisce trattamento in quanto la pubblicazione online determina l’accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica.
Obblighi del titolare del trattamento
Il titolare è responsabile giuridicamente dell’osservazione e dell’applicazione pratica degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali.
I suoi obblighi riguardano:
- trattamento dei dati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- acquisizione del consenso dall’interessato nei casi previsti;
- informare correttamente e in maniera trasparente gli interessati;
- adottare le misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato e che i dati non siano persi, alterati, distrutti o trattati illecitamente;
- il dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
- tenere il registro di trattamenti;
- fornire le istruzioni e formare il personale;
- documentare le violazione dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti;
- nominare il DPO se necessario.
Violazione delle norme
Secondo quanto previsto dall’articolo 82 e dal Considerando 79, nel caso di violazione delle norme del regolamento europeo, il titolare risponde direttamente per il danno provocato all’interessato.
Se più titolari o responsabili sono coinvolti nello stesso trattamento l’interessato potrà rivolgersi a ognuno di essi singolarmente o chiedere i danni a tutti in solido (ovvero i debitori sono obbligati tutti per la medesima prestazione).
Tuttavia, il titolare e il responsabile saranno esonerati dalla responsabilità se dimostreranno che:
- l’evento dannoso non è imputabile alla loro condotta ma a una causa esterna alla loro sfera di controllo;
- di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso.
Avv. Ignazio Ballai
