GDPR e Privacy - Profili amministrativi e gestionali I principali protagonisti del trattamento dei dati: Titolare, Contitolari, Rappresentante UE, Responsabile e Sub-Responsabili, Persone autorizzate e soggetti designati, Responsabile della Protezione dei Dati (Data Protection Officer o DPO)

GDPR e Privacy - Profili amministrativi e gestionali

Questo articolo è dedicato all'approfondimento dei principali profili amministrativi e gestionali previsti dal nuovo Regolamento Europeo per la Protezione dei Dati, noto anche come Regolamento UE 2016/679 o General Data Protection Regulation (GDPR).

La panoramica è parte integrante della serie di articoli dedicati al tema GDPR e Privacy che abbiamo pubblicato su questo blog nel corso degli ultimi mesi, in conseguenza dell'entrata in vigore del Decreto Legislativo 10 agosto 2018, n. 101, che costituisce il nuovo Codice della Privacy italiano.

Definizioni

Come sempre in questi casi è utile partire dalle definizioni, che - nel caso del GDPR - troviamo elencate all'interno dell'Articolo 4 - Definizioni. Per ragioni di spazio ci limiteremo ad elencare solo quelle che riguardano maggiormente i profili che andremo ad approfondire.

  • Titolare del Trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.
  • Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
  • Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile.
  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Queste definizioni ci consentiranno di orientarci al meglio nei prossimi paragrafi, dove andremo ad elencare i ruoli e i compiti specifici che spettano alle persone fisiche o giuridiche che, a vario titolo, sono coinvolte nelle attività di trattamento.

Titolare del trattamento

Noto anche come Data Controller. Si tratta della persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, decide le finalità e i mezzi del trattamento.

Come si può vedere, la definizione di titolare si articola intorno a cinque elementi principali:

  • il soggetto, inteso come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo”;
  • il potere decisionale (“determina”);
  • la possibile condivisione della responsabilità (“singolarmente o insieme ad altri”);
  • l'oggetto, ovvero il potere decisionale ("le finalità e i mezzi del trattamento");
  • il trattamento dei dati personali, cui le finalità e i mezzi riferiscono.

Il concetto di titolare è da intendersi come autonomo, nel senso che va interpretato principalmente alla luce delle disposizioni relative alla protezione dei dati nell'UE, e funzionale, nel senso che è finalizzato all’assegnazione di responsabilità laddove intervenga un'influenza effettiva: va dunque identificato per mezzo di un'analisi fattuale piuttosto che formale. In questo senso l'accento sulle finalità è particolarmente importante, in quanto sono prevalentemente queste - in misura senz'altro più rilevante dei mezzi - che consentono di determinare in modo indubbio il ruolo e la funzione del titolare, distinguendolo ad esempio dal responsabile: quest'ultimo infatti, come avremo modo di vedere, opera conto del titolare e non ha quindi nessun potere decisionale in merito alle finalità del trattamento, pur potendo avere voce in capitolo sui mezzi (ad esempio, mediante l'adozione di un sistema informatico a sua discrezione).

Le principali responsabilità in capo al titolare del trattamento sono descritte negli articoli 24 e 25 del GDPR. In dettaglio:

  • Articolo 24: Responsabilità del Titolare del Trattamento, nel quale si chiarisce come il titolare - tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche - debba mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento è effettuato conformemente al presente regolamento. Si tratta dell'articolo cardine per la definizione del principio dell'accountability, termine di difficile traduzione in lingua italiana e spesso impropriamente tradotto con "responsabilità" o "rendicondazione": in realtà il concetto dell'accountability è quello di "prova della responsabilità", ovvero di capacità di dimostrare (in primo luogo agli stakeholder) la capacità - in termini di affidabilità e competenza aziendale - di poter gestire correttamente i dati personali.
  • Articolo 25: Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, dove declinano lemisure tecniche e organizzative adeguate di cui all'articolo 24 parlando di pseudonimizzazione, minimizzazione e altre garanzie tecniche a tutela dei diritti degli interessati. In questo articolo prendono corpo due principi fondamentali in tema di data protection:
    • Privacy by default, ovvero la garanzia che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
    • Privacy by design, ovvero l'impegno a incorporare la privacy a partire dalla progettazione di ciascun processo aziendale e delle relative applicazioni informatiche di supporto.

Contitolari del trattamento

Come disposto dall'articolo 26 del GDPR, nel momento in cui due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Si tratta dunque di una pluralità di attori (2 o più) che intervengono in varie operazioni o insiemi di operazioni su dati personali, simultaneamente o in varie fasi, condividendone in tutto o in parte i mezzi e le finalità.

Il trattamento congiunto dei dati può avvenire sia a seguito di una decisione comune che in conseguenza di decisioni convergenti, ma in entrambi i casi è necessario che tutti i soggetti coinvolti nella contitolarità abbiano un impatto tangibile sulla determinazione delle finalità e delle modalità del trattamento; al tempo stesso, però, il regolamento precisa come la sussistenza di una contitolarità non implichi necessariamente un uguale livello di responsabilità tra i soggetti coinvolti.

I contitolari del trattamento hanno l'obbligo di scrivere un accordo di contitolarità (o accordo di riparto); un atto giuridico avente solitamente forma di un contratto che descriva le modalità di trattamento dei dati nonché le rispettive competenze e responsabilità: ad esempio, chi ha il compito di progettare i processi nel rispetto del principio di privacy by design, ovvero chi si occupa delle comunicazioni al Garante in caso di data breach. Poiché l'accordo di contitolarità deve poter essere visionato dall'interessato, e quindi può facilmente raggiungere una dimensione pubblica: per questo motivo è bene che esso venga scritto preservando opportunamente le informazioni aziendali, onde evitare che la necessità di trasparenza possa paradossalmente pregiudicare la sicurezza delle informazioni o favorire la diffusione impropria di segreti aziendali o informazioni altrimenti riservate.

Rappresentante UE

La figura del Rappresentante UE è descritta nell'articolo 27 del GDPR ed entra in gioco nel caso in cui il titolare o responsabile del trattamento non risieda in Unione Europea: in quei casi è previsto l'obbligo di designare per iscritto un rappresentante nel territorio dell'UE, ovvero una persona fisica o giuridica che possa rappresentare il titolare o il responsabile per quanto riguarda gli obblighi previsti del GDPR per il trattamento dei dati dei cittadini risiedenti nell'Unione.

L'obbligo alla nomina del Rappresentante UE viene meno nel caso in cui il trattamento di dati sia occasionale e non includa categorie particolari di dati (di cui all'articolo 9 del GDPR), o nella misura in cui non costituisca un pericolo per i diritti e le libertà degli interessati.

Responsabile del trattamento

Noto anche come Data Processor. Come abbiamo visto nel paragrafo introduttivo, dedicato alle definizioni, si tratta della persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il responsabile del trattamento deve essere necessariamente un soggetto distinto dal titolare del trattamento e deve trattare i dati personali nell'interesse di quest'ultimo, ovvero in conseguenza di una istruzione documentata, ovvero una delega scritta; questa delega ha quasi sempre la forma di un contratto (atto giuridico), il quale - secondo quanto previsto dal regolamento - deve obbligatoriamente disciplinare la materia, la durata, la natura, le finalità, il tipo di dati, le categorie, gli obblighi e i diritti del titolare.

La mancanza di un contratto scritto con il responsabile del trattamento e/o di specifici vincoli di confidenzialità e riservatezza costituisce una delle cause di sanzione più gravi e "costose" per il titolare previste dal GDPR, con multe che possono arrivare fino a 10.000.000 di EUR ovvero fino al 2% del fatturato mondiale annuo dell'azienda (cfr. articolo 83).

E' importante sottolineare come le linee guida prevedano che il responsabile del trattamento non deve trattare i dati personali al di fuori delle istruzioni documentate del titolare del trattamento, ovvero al di fuori dei termini stabiliti nel contratto di cui sopra: nel momento in cui lo fa viola il GDPR, in quanto - andando oltre le istruzioni del titolare - inizia a determinare proprie finalità e/o modalità di trattamento, assumendosi in tal modo le responsabilità di un titolare.

Le principali caratteristiche del responsabile del trattamento sono descritte all'interno dell'articolo 28 del GDPR: oltre a quelle elencate esistono però numerose linee guida che sottolineano l'importanza che il titolare possieda dei sufficienti requisiti di garanzia rispetto ai dati trattati, misurabili in termini di conoscenza specialistica, affidabilità e risorse impiegate, così da poter mettere in atto le medesime misure tecniche e organizzative adeguate previste per il titolare nell'articolo 24.

Sub-responsabili del trattamento

Una delle novità più significative introdotte dal GDPR è quella del sub-responsabile del trattamento, figura che entra in gioco quando il responsabile del trattamento esternalizza a sua volta il trattamento dei dati delegatogli dal titolare; i sub-responsabili del trattamento sono quindi nominati dal responsabile (o da un altro sub-responsabile), ferma restando la necessità di informare preventivamente il titolare e ottenere il suo consenso (cfr. articolo 28 del GDPR).

Anche in questo caso si rende necessario un accordo scritto, stavolta tra responsabile e sub-responsabile, che prescriva il rispetto dei medesimi obblighi cui il responsabile stesso è vincolato in virtù della sua nomina da parte del titolare; è inoltre necessaria la predisposizione, da parte del responsabile, di un elenco aggiornato da parte del responsabile dei contratti chiusi con i propri sub-responsabili; inoltre, qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, la responsabilità ricadrà interamente sul responsabile in cima alla catena.

Persone autorizzate e Soggetti designati

Il vecchio codice privacy italiano (D. Lgs. 196/2003) prevedeva la categoria dei cosiddetti incaricati al trattamento, ovvero persone fisiche autorizzate al trattamento dei dati dal titolare o dal responsabile in un contesto operativo al di sotto dell'autorità di quest'ultimo. Tali figure non sono menzionate dal GDPR, e sembravano pertanto in procinto di cadere in disuso.

A grande sorpresa, però, il nuovo Codice Privacy italiano (D. Lgs. 101/2018), pur abrogando espressamente le disposizioni del precedente codice (considerate incompatibili con le disposizioni contenute nel GDPR), ha introdotto un’ulteriore definizione: quella del soggetto designato (cfr. art 2-quaterdecies), che viene definito nel seguente modo:

Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.

L'introduzione del soggetto designato consente dunque a un'impresa (o ente pubblico) di delegare - ad esempio a personale interno - una serie di compiti specifici, delimitando l'ambito del trattamento al quale questi ultimi sono autorizzati e consentendo così di dare seguito agli adempimenti organizzativi interni alla struttura dei titolari del trattamento: si tratta di un controverso - ma indubbiamente efficace - workaround che consente al titolare di conferire ufficialmente autorizzazioni/istruzioni privacy alle figure organizzative di vario livello in modo conforme al regolamento europeo e senza dover ricorrere alla figura del "responsabile interno" o dell'"incaricato al trattamento", definizioni che vengono considerate oggi superate.

Responsabile protezione dati (DPO)

Ultimo, ma non certo per importanza, è il profilo del Data Protection Officer, al quale il nuovo Regolamento Europeo dedica un'intera sezione (Capo IV, Sezione 4: Responsabile della protezione dei dati), articolata negli articoli 37 (designazione), 38 (posizione) e 39 (compiti).

Quella del DPO è una figura estremamente complessa, del tutto inedita nel panorama privacy prima dell'introduzione del GDPR: nella maggior parte dei casi viene considerato un esperto di protezione di dati personali al quale affidare funzioni di consulenza al responsabile privacy aziendale, o addirittura - nei casi dove l'equivoco ha portata ancora maggiore - come una sorta di responsabile privacy con funzioni operative. Al contrario, l'attività prevalente del DPO dovrebbe essere rivolta ai controlli sul sistema privacy aziendale, pur non escludendo compiti di supporto e di indirizzo del titolare del trattamento; il suo ruolo non va dunque confuso con quello di un Privacy Manager o con altre funzioni dedicate all'implementazione della compliance normativa in materia di privacy.

Qual è, dunque, il compito del DPO? La risposta corretta è contenuta tra le righe dell'articolo 39 del GDPR, da cui si evince che il Responsabile della protezione dei dati deve coordinare un sistema di controllo sulla conformità dell'azienda al GDPR, tenendo conto del principio dell’accountability: in altre parole, vigilare sulle capacità dell'organizzazione di adeguarsi al Regolamento e, soprattutto, di documentare i passi svolti per essere conforme. Il DPO è dunque, in buona sostanza, colui che garantisce la tenuta degli obblighi del titolare descritti nell'articolo 24, prima coadiuvando il titolare nella progettazione di un efficace sistema di gestione dei dati personali, e successivamente verificando che l'azienda riesca a mantenere aggiornato e conforme il suddetto sistema.

Per questo motivo al Data Protection Officer è richiesto un set di competenze piuttosto elevato. In particolare, deve possedere:

  • Un'approfondita conoscenza della normativa, delle prassi in materia di Data Protection, delle norme e delle procedure amministrative del settore di riferimento dell'azienda o organizzazione;
  • Una comprovata familiarità con le operazioni di trattamento, con le tecnologie informatiche e con le misure di sicurezza dei dati previste dal settore di riferimento;

Il GDPR prevede che il DPO sia una figura autonoma e indipendente; come tale, non deve ricevere alcuna istruzione dal titolare. Va inoltre coinvolto a titolo ufficiale in tutte le decisioni riguardanti la protezione dei dati e deve poter partecipare alle riunioni del consiglio di amministrazione; inoltre, nel caso in cui il management decide di disattendere le sue indicazioni in materia di Data Protection, il DPO ha la facoltà di richiedere che il suo parere contrario venga verbalizzato in modo ufficiale.

Come si può vedere si tratta di una serie di competenze e caratteristiche che difficilmente possono essere in linea con un dipendente aziendale, a meno che non si tratti di una funzione manageriale di alto profilo e dotata di una autonomia e indipendenza fuori dal comune: per questo motivo, pur se non vietata esplicitamente dal GDPR, la nomina di un DPO "interno" è oggi una pratica fortemente sconsigliata dalla prassi.

Quanto costa - e quanto guadagna - il Responsabile della protezione dei dati? Per rispondere a questa domanda consigliamo di leggere l'articolo DPO – Mansioni, Tariffe e Calcolo dei Compensi, contenente una serie di utili riflessioni sul ruolo del Data Protection Officer secondo quanto previsto dal GDPR e qualche ipotesi di calcolo dei possibili compensi.

Il GDPR prevede che il Data Processor Officer debba essere obbligatoriamente nominato nei seguenti casi:

  • se il trattamento di dati personali è effettuato da una autorità pubblica o da un organismo pubblico;
  • se le attività principali dell'organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se le attività principali dell'organizzazione consistono nel trattamento su larga scala di "categorie particolari di dati" (origine etnica, opinioni politiche, relativi a condanne penali e reati, etc.);

Al di là delle fattispecie che ne determinano l'obbligatorietà, la nomina del DPO viene comunque esplicitamente raccomandata in tutti gli altri come buona prassi. Al tempo stesso, è evidente come le casistiche individuate siano oltremodo generiche, specialmente per la maggior parte delle piccole e medie imprese italiane che, pur trovandosi a dover trattare un quantitativo di dati non indifferente (magari in qualità di responsabili, fornitori o concessionari di servizi pubblici), non hanno possibilità di determinare la necessità di nomina del DPO in modo oggettivo.

Per fugare possibili dubbi interpretativi, in particolare nei riguardi del concetto di "larga scala", il Gruppo di Lavoro Articolo 29 - noto anche come WP29 - ha pubblicato nel 2018 un documento chiamato Linee Guida sui responsabili della protezione dei dati (Guidelines on Data Protection Officers nella versione originale in lingua inglese) contenente alcune ipotesi chiarificatrici: sfortunatamente, neppure quel contributo ha consentito di fugare tutti i possibili dubbi.

Il WP29 è oggi sostituito dall'European Data Protection Board (noto in italia come Comitato Europeo per la Protezione dei Dati): un organismo UE indipendente che aiuta nell’applicazione coerente delle norme sulla privacy nel Continente e promuove la cooperazione tra le autorità per la protezione dei dati nel territorio dell'unione.

Una ulteriore trattazione del problema, che appare decisamente più convincente, è quella proposta all'interno di questo articolo di Francesca Lonardo (fonte: zerounoweb.it), aggiornato al novembre 2020, che affronta in modo piuttosto dettagliato le tre fattispecie di obbligatorietà cercando di declinarle all'interno dell'ordinamento giuridico italiano.

In estrema sintesi, queste sono le conclusioni maggiormente degne di nota:

  • autorità o organismo pubblico: sembra corretto ipotizzare che, sulla base della qualificazione di organismo di diritto pubblico effettuata nel nostro ordinamento (cfr. Cass. SS.UU. sent. n. 24722/2008), questa definizione ricomprenda non solo le autorità nazionali, regionali e locali sopra indicate, ma anche i concessionari di pubblici servizi (ad es. le società per azioni controllate);
  • attività principali: l'interpretazione prevalente tende ad includere sia i casi in cui il trattamento di dati costituisce attività principale che quelli in cui costituisce una componente inscindibile dalle attività svolte: in altre parole, la definizione andrebbe intesa nel senso di di core activities;
  • monitoraggio regolare e sistematico: poiché il considerando 24 ricomprende in questa definizione tutte le forme di tracciamento e profilazione su Internet, è ragionevole pensare che anche qualsiasi monitoraggio del comportamento degli interessati effettuato in modalità analoga vi rientri allo stesso modo, a patto che avvenga in modo continuo ovvero a intervalli definiti per un arco di tempo definito, ovvero ricorrente, ovvero ripetuto a intervalli costanti o periodici.
  • larga scala: il considerando 91 considera "su larga scala" trattamenti di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato; il WP29 integra questo quadro sottolineando come la definizione riguardi necessariamente il numero di soggetti interessati (in termini assoluti ovvero espressi in percentuale della popolazione di riferimento), nonché il volume e/o le diverse tipologie di dati, la durata e la portata geografica dell’attività di trattamento. Sulla base di queste indicazioni, si può ragionevolmente ritenere come la maggior parte delle aziende aventi un core business diffuso a livello nazionale e che preveda un numero di utenti (o altrimenti "interessati") non banale rientri nella casistica di riferimento.

Come si può vedere, tutte le più recenti interpretazioni delle definizioni contenute nell'articolo 37 del GDPR tendono ad allargare le casistiche che determinano l'obbligo di nomina di un Data Protection Officer: per questo motivo, anche in virtù della raccomandazione di provvedere a tale nomina prevista dal Regolamento come buona prassi, anche le aziende che ritengono di trovarsi in una "zona grigia" stanno cominciando a dotarsi di un DPO o, nei casi in cui ritengono opportuno aspettare, di una documentazione scritta che attesti in modo il più possibile esaustivo le motivazioni alla base della scelta di non averlo fatto.

E' utile ricordare che, in caso di mancata nomina del DPO ove obbligatoria, il titolare (o responsabile) del trattamento rischia una sanzione pecuniaria amministrativa fino a 20.000.000 EUR o fino al 4% del fatturato totale mondiale annuo.

Conclusioni

Per il momento è tutto: ci auguriamo che le informazioni contenute in questo articolo siano state di vostro interesse. Per ulteriori approfondimenti su GDPR e privacy vi invitiamo a consultare la nostra sezione dedicata. Alla prossima!

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


The reCAPTCHA verification period has expired. Please reload the page.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.