Privacy: Titolare e Responsabile un rapporto chiaro e stretto

Privacy: Titolare e Responsabile un rapporto chiaro e stretto

Il Regolamento Europeo 679/2016 obbliga una modifica ai rapporti fra titolare e responsabile del trattamento rispetto alle disposizioni del DLgs 196/2003. Ecco alcune nuove peculiarità. Di Paola Limatola e Sebastiano Plutino.

II compiti e i ruoli di Titolare e Responsabile del trattamento, delineati nel Dlgs. 196/2003, sono stati nel tempo ulteriormente precisati dall’Autorità Garante attraverso pronunciamenti che hanno dettagliato le relazioni intercorrenti tra le due figure e gli “incaricati” del trattamento, i quali agiscono in virtù delle mansioni a loro affidate e delegate proprio da Titolare e Responsabile.

La relazione tra il titolare del Trattamento dei Dati Personali (“Titolare”) e il responsabile del Trattamento dei Dati Personali (“Responsabile”), secondo il Regolamento EU 679/2016 entrato in vigore lo scorso 25 maggio in merito al trattamento dei dati personali, è trasparente e ben definita.

Pubblicità

Attrezzature e presidi - Kit di aggiornamento QCPR per Manichino Little Anne per formazione primo soccorso Aggiornate il vostro Little Anne per aggiungere la funzione di feedback QCPR. Il kit può essere utilizzato con qualunque versione di Little Anne.

Il Titolare è la persona, fisica o giuridica, che – singolarmente o insieme ad altri - determina finalità e mezzi del trattamento e adotta misure tecniche e organizzative per garantire e dimostrare che il trattamento sia effettuato in conformità al Regolamento; è sempre il Titolare, qualora ve ne sia la necessità, a definire le politiche da adottare in materia di protezione dei dati personali.

Il Responsabile è la persona fisica o giuridica che, a seguito di una designazione formale, effettua il trattamento di dati personali per conto del Titolare.

Il Titolare, prima di designare un Responsabile e di affidargli l’incarico, deve verificarne le caratteristiche e le competenze e assicurarsi che offra garanzie sufficienti e sia in grado di adottare misure tecniche e organizzative adeguate a tutelare i diritti degli interessati.

I trattamenti effettuati dal Responsabile devono essere disciplinati da una nomina (in caso di attori della stessa organizzazione) o da un atto giuridico (contratto in caso di attori appartenenti ad organizzazioni diverse) che vincoli Titolare e Responsabile e che contenga gli accordi stabiliti tra i due attori.

In particolare, l’accordo dovrà contenere una descrizione dettagliata delle attività da svolgere – tipologia dei dati personali trattati, finalità e durata del trattamento, obblighi e diritti del titolare – e dovrà prevedere che il Responsabile possa effettuare le attività di trattamento esclusivamente dietro istruzione documentata del Titolare, soprattutto in caso di trasferimento dei dati personali verso un’organizzazione internazionale o un paese terzo.

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare; dovrà quindi preventivamente sottoscrivere con tali altri Responsabili un’apposita nomina o contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati da lui sottoscritti con il Titolare.

Giova ricordare che, nel caso di affidamento ad altri Responsabili di parte delle attività di trattamento, il Responsabile designato dal Titolare conserva nei confronti di quest’ultimo l’intera responsabilità dell’adempimento degli obblighi degli altri Responsabili nel caso di loro inadempienza.

Titolare e Responsabile possono stipulare contratti o atti giuridici specifici o, per la definizione del loro accordo, possono scegliere di basarsi, in tutto o in parte, su clausole contrattuali tipo appositamente predisposte.

Il Responsabile ha inoltre l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare; assiste il Titolare nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato, garantisce la sicurezza del trattamento, collabora per la notifica di violazioni dei dati personali all’Autorità Garante o, eventualmente, agli interessati; assiste inoltre il Titolare nella valutazione d’impatto sulla protezione dati e nelle occasioni in cui si renda necessario consultare preventivamente l’Autorità Garante in caso di rischio elevato connesso alle attività di trattamento; collabora, ove presente, con il Responsabile della Protezione dei Dati; mette a disposizione del Titolare ogni informazione necessaria a dimostrare il rispetto dei propri obblighi e contribuisce alle attività di revisione e di ispezione realizzate dal Titolare o da un suo incaricato.

Il rapporto tra i due attori è quindi molto stretto e molto chiaro: Titolare e Responsabile hanno diverse attribuzioni ma obblighi condivisi, primo tra tutti la tutela dei diritti degli interessati in conformità a quanto prescritto dal Regolamento.

Il Titolare nominerà quindi un Responsabile solo dopo averne attentamente pesato

caratteristiche e competenze, che devono essere dimostrabili: la nomina dovrà essere opportunamente considerata poiché un’errata valutazione potrà avere conseguenze anche spiacevoli per il Titolare ed esporlo al rischio di sanzioni.

D’altro canto, il Responsabile non potrà avere un atteggiamento “passivo” ma dovrà proattivamente collaborare, suggerire e adoperarsi affinché il trattamento a lui affidato si svolga entro confini ben definiti, con responsabilità chiare e reciprocità

d’impegni per la salvaguardia dei dati personali degli interessati.

Eventuali sanzioni possono infatti riguardare anche il Responsabile nel caso in cui questo non riesca a dimostrare di aver messo in atto comportamenti e cautele perfettamente in linea con quanto disposto dal Titolare. Rimane in ogni caso in capo al Responsabile, in particolare se esterno all’organizzazione, il rispetto degli obblighi normativi a prescindere da quanto indicato dal Titolare.

Il Regolamento Europeo indica in dettaglio le responsabilità delle due figure principali coinvolte nel trattamento dei dati personali e quali siano i passi da compiere per garantire che le operazioni sui dati personali avvengano con trasparenza e con compiti assegnati in modo inequivocabile.

Le organizzazioni dovranno effettuare scelte avvedute e ponderate e, nello spirito del Regolamento, dovranno conservare ed aggiornare la documentazione per dimostrare di aver preso decisioni adeguate alle prescrizioni normative.

Paola Limatola

Sebastiano Plutino

Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.