Quando un’azienda, o un privato, chiede (e ottiene) il consenso al trattamento dei dati personali di un individuo scattano una serie di meccanismi volti a garantire il rispetto del diritto alla Privacy dell’Interessato. Uno di questi consiste nell’individuare i soggetti a cui spetta la tutela di questo diritto, attraverso una serie di regole volte a garantire che il trattamento avvenga nel rispetto della legge e dei diritti del titolare dei dati. La legge ne individua tre: il Titolare, il Responsabile e l’Incaricato del trattamento.
Quali sono le differenze? Quali sono gli obblighi, i poteri e le responsabilità, civili e penali, di ciascuna di queste figure?
Qual è la differenza tra titolare, responsabile e incaricato del trattamento?
Nonostante i cambiamenti introdotti dal Nuovo Regolamento UE 2016/679 (GDPR, Regolamento Generale sulla protezione dei dati), le basi normative introdotte dal Codice della Privacy (D.lgs. n. 196/2003) rimangono invariate. La terminologia del Nuovo Regolamento, sotto questo punto di vista, si allinea alla normativa nazionale. Le figure coinvolte nel trattamento dei dati sono sempre le stesse: si parla di Titolare, Responsabile e Incaricato del trattamento, sia a livello comunitario che a livello nazionale. Il Regolamento definisce, infatti, caratteristiche soggettive e responsabilità del Titolare e Responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). La disciplina europea introduce, tuttavia, alcune novità significative che – come vedremo – vanno a rafforzare la tutela del diritto alla Privacy e, di conseguenza, i diritti degli Interessati.
Titolare del trattamento
Il Titolare del trattamento è la persona fisica o giuridica a cui spettano, singolarmente o di concerto con altro Titolare, tutte le decisioni in merito alle finalità e modalità del trattamento, compresi i profili inerenti alla sicurezza. Una delle novità più significative introdotte dal Regolamento Europeo Privacy è la possibilità che vi siano più soggetti Titolari del medesimo trattamento. L’art. 26 disciplina, infatti, la contitolarità del trattamento e impone a ciascun Titolare di definire specificamente, tramite contratto (o altro atto giuridicamente valido in base al diritto nazionale), il rispettivo ambito di responsabilità e compiti in merito al rispetto degli obblighi previsti dal regolamento, con particolare riguardo all’esercizio dei diritti da parte del soggetto Interessato (che può rivolgersi indifferentemente all’uno o all’altro). Il Titolare (o i Titolari, che operano congiuntamente) risponde, sotto ogni punto di vista, di eventuali trattamenti illeciti penali perpetrati da Responsabili o eventuali Incaricati al trattamento, soprattutto nel caso in cui non abbia adempiuto ai propri obblighi di corretta e chiara definizione delle modalità da seguire per il trattamento dei dati (e per la tutela della loro sicurezza).
Responsabile del trattamento
Per Responsabile del trattamento si intende la persona fisica o giuridica preposta dal Titolare al trattamento dei dati personali. Si tratta di una figura di carattere facoltativo: l’art. 29 del Codice Privacy definisce, infatti, come Responsabile “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo, che possono essere preposti dal Titolare al trattamento dei dati”. Se designato, il Responsabile deve essere selezionato con criterio tra soggetti altamente qualificati, ovvero tra coloro che per esperienza, capacità o particolari doti di affidabilità siano in grado di garantire il rispetto degli obblighi di legge, ivi compreso il profilo della sicurezza. Possono essere nominati anche più Responsabili del trattamento che, nel ripartirsi i compiti previsti dalle norme vigenti, svolgono il proprio lavoro su un piano di perfetta parità. Una delle novità previste dal Regolamento UE è la possibilità di nominare sub-responsabili del trattamento da parte di un Responsabile, previa autorizzazione scritta da parte del Titolare. La nomina può avvenire solo per delegare lo svolgimento di specifiche attività di trattamento e obbliga il soggetto sub-responsabile agli stessi obblighi contrattuali che legano Titolare e Responsabile primario. Quest’ultimo risponde, infatti, al Titolare dell’eventuale inadempimento del sub-responsabile, anche ai fini del risarcimento dei danni causati dal trattamento illecito (a meno che non dimostri che l’evento dannoso “non gli è in alcun modo imputabile”). Il Titolare, infatti, “deve vigilare sulla puntuale osservanza delle disposizioni del Codice e delle istruzioni impartite” (art. 29 comma 5). Il Responsabile del trattamento, inoltre, deve essere designato con un contratto (o altro atto giuridicamente valido), individuando in modo tassativo, e per iscritto, i compiti, le responsabilità e lo specifico ambito di operatività. In particolare, al Responsabile deve essere specificata la natura, durata e finalità del trattamento assegnato, la tipologia di dati personali e le categorie di Interessati a cui i dati si riferiscono nonché le istruzioni sulla base delle quali dovrà operare, ivi comprese le misure tecniche e organizzative idonee a consentire il rispetto delle istruzioni impartite e, più in generale, del Regolamento. L’art. 28 individua, nello specifico, i compiti del Responsabile, tra cui:
- la tenuta del registro dei trattamenti svolti;
- l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento);
- la designazione di un RPD (Responsabile per la protezione dei dati), nei casi previsti dal regolamento o dal diritto nazionale;
- la redazione, con cadenza annuale (entro il 31 marzo), del Documento Programmatico sulla Sicurezza.
Nel caso in cui Titolare o Responsabile del trattamento non siano stabiliti all’interno dell’Unione Europea, dovrà essere designato per iscritto un rappresentante nell’Unione, il quale dovrà essere stabilito in uno degli Stati Membri in cui si trovano gli Interessati e i cui dati personali sono trattati. L’obiettivo è fornire alle autorità di controllo nazionali (e al soggetto Interessato) un interlocutore stabile per tutte le questioni inerenti alla sicurezza del trattamento.
Incaricato del trattamento
Sono Incaricati del trattamento, ex art. 4 lett. h) del Codice Privacy “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile“. Gli incaricati, dunque, possono essere solo persone fisiche, obbligatoriamente designate per iscritto dal Titolare o Responsabile del trattamento. Nell’atto di designazione, inoltre, deve essere indicato lo specifico ambito del trattamento consentito. Si tratta di una figura obbligatoria nelle imprese, private o pubbliche, dal momento che solo gli Incaricati possono effettuare operazioni di trattamento dei dati personali: operazioni che devono essere svolte sotto la diretta autorità del Titolare, o Responsabile, attenendosi alle relative istruzioni impartite. Tale figura non è espressamente disciplinata dal Nuovo Regolamento Europeo, ma non essendoci alcuna incompatibilità con le disposizioni del Regolamento stesso, la legittimità della sua esistenza non è in discussione. La tua azienda ha già iniziato a conformarsi agli adempimenti del Nuovo Regolamento GDPR? Ha già previsto le figure di Titolare, Responsabile e Incaricato del trattamento, designando ciascuna di esse in modo corretto? Vuoi assicurarti di rispettare al 100% le nuove prescrizioni normative e metterti al sicuro da controlli e sanzioni? Scopri il nuovo Tool GoPrivacy: il Software Gestionale Privacy sviluppato insieme ai maggiori esperti Privacy in Europa per la gestione degli obblighi del GDPR.