GDPR: i soggetti coinvolti nel trattamento dei dati personali – Parte I

Il Regolamento Europeo 679/2016 individua in maniera puntuale le figure che, a vario titolo, hanno un ruolo attivo o passivo nell’ambito della privacy.

Iniziamo un viaggio nella normativa vigente in tema di trattamento dei dati personali per definirne in maniera più precisa il perimetro di applicazione, i soggetti coinvolti, le modalità previste e alcuni aspetti particolari in funzione dei diversi ambiti di applicazione possibili.

Partiamo dall’ambito soggettivo di applicazione.

Il Regolamento Europeo protegge i dati personali delle sole persone fisiche. Ciò significa che la nuova normativa non è applicabile ai dati (a esempio: la ragione sociale, i dati di contatto, la forma giuridica, etc.) di quei soggetti che hanno personalità giuridica quali le società, le fondazioni, le associazioni riconosciute etc.

Per quanto attiene invece ai destinatari delle norme, in termini di osservanza delle prescrizioni dettate in funzione della protezione oggetto del Regolamento, questi possono essere persone fisiche o giuridiche, Pubbliche Amministrazioni, Enti e soggetti che assumano le più diverse forme organizzative.

Le figure che, ai sensi del Regolamento Europeo, assumo un ruolo sia esso passivo o attivo nell’ ambito di applicazione dello stesso sono:

  1. L’INTERESSATO
  2. IL TITOLARE
  3. IL RESPONSABILE
  4. IL RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD – DPO)
  5. L’AUTORIZZATO
  6. IL TERZO

Oggi ci occuperemo delle prime tre.

L’INTERESSATO

Il Regolamento Europeo non prevede una definizione specifica per questa figura, ma essa è citata all’interno della definizione di Dato Personale (Regolamento EU 2016 art. 4, c. 1, punto 1). L’Interessato è quella persona fisica identificata o identificabile, direttamente o indirettamente, attraverso la conoscenza del dato personale.

L’interessato, dunque, è il soggetto a cui fanno riferimento i dati quali: nome e cognome, dati relativi all’ubicazione, alla residenza o al domicilio, identificativi on-line o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, mediante i quali è possibile capire, desumere o definire la sua identità.

Usando una terminologia non tecnica, potremmo qualificare l’interessato come il proprietario dei dati personali cui facciamo riferimento.

IL TITOLARE

Secondo l’articolo 4, c. 1, punto 7 del Regolamento Europeo, il Titolare del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le modalità di trattamento dei dati.

Il Titolare, dunque, è il soggetto che ha il potere di definire quali e quanti dati trattare, le finalità del trattamento, le modalità del trattamento, i mezzi necessari al trattamento e le misure di sicurezza da implementare per il trattamento o i trattamenti che intende operare.

La definizione è sufficientemente ampia e “flessibile” da poter comprendere anche modelli organizzativi complessi e molto ramificati.

È bene specificare che in caso di persone giuridiche (quali ad esempio: Società, Fondazioni, Enti riconosciuti, etc.), Pubbliche Amministrazioni e altri soggetti assimilabili, il Titolare del trattamento è sempre la persona giuridica, l’Amministrazione o l’Ente, mai il suo legale rappresentate pro-tempore o la persona fisica che ne ha la rappresentanza.

Il Titolare è il soggetto chiamato ad adempiere gli obblighi previsti dal Regolamento Europeo che, di conseguenza, assume su di sé le responsabilità della corretta applicazione della normativa.

Il Regolamento prevede anche il caso di Contitolarità del trattamento, all’articolo 26, nei casi in cui la definizione delle finalità e dei mezzi di trattamento sia assunta contemporaneamente da due o più Titolari. In questo caso è necessario un accordo interno che attribuisca in “modo trasparente” le rispettive responsabilità.

IL RESPONSABILE DEL TRATTAMENTO

Il punto 8 del primo paragrafo dell’articolo 4 del Regolamento Europeo definisce la figura del Responsabile del trattamento come la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro organismo che tratta i dati personali per conto del Titolare del trattamento.

L’articolo 28, in aggiunta, ne definisce i contorni e l’operatività.

Il Responsabile è quel soggetto che, in ragione delle sue peculiari caratteristiche professionali e di specifiche competenze, viene scelto dal Responsabile per operare, con una esplicita delega in forma scritta, su determinati trattamenti.

Tipicamente nel mondo delle imprese assume questo ruolo la figura del commercialista e/o del consulente del lavoro.

Il Responsabile deve presentare sufficienti garanzie relative alle sue capacità tecniche e organizzative per porre in essere adeguate misure al fine di poter garantire che il trattamento da lui eseguito soddisfi i requisiti previsti dal Regolamento e garantisca la tutela dei diritti dell’interessato.

Il Responsabile, a sua volta, può avvalersi di sub-responsabili a condizione che, tale scelta, sia stata preventivamente autorizzata, in forma scritta, dal Titolare sia riguardo specifici ambiti del trattamento, sia con una portata generale.

L’atto di nomina del Responsabile ha natura contrattuale, deve essere redatto in forma scritta recando specifici contenuti necessari che sono definiti dalla norma stessa.

L’atto di nomina deve obbligatoriamente specificare:

  • la natura del trattamento;
  • le finalità del trattamento;
  • la durata del trattamento;
  • il tipo di dati personali oggetto di trattamento;
  • le categorie di interessati;
  • gli obblighi e i diritti del Titolare del Trattamento;
  • le istruzioni specifiche per il trattamento dei dati;

Il Responsabile, a sua volta, assume l’obbligo di garantire la riservatezza da parte delle persone da lui autorizzate per il trattamento dei dati, di adottare le misure di sicurezza previste, di porre in essere misure tecniche e organizzative adeguate per assistere il Titolare del trattamento in caso di esercizio dei propri diritti da parte degli interessati, e di assistere il Titolare nel caso in cui si verifichi una violazione di dati personali per il compimento delle attività necessarie per il rispetto degli obblighi derivanti.