Titolare e responsabile del trattamento. Registro dei trattamenti e Privacy Impact Assestment

Titolare e responsabile del trattamento. Registro dei trattamenti e Privacy Impact Assestment

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualunque altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Viene di solito individuato, per comodità, nel “vertice” dell’azienda o dell’organo. E’ il soggetto che decide circa il trattamento dei dati e le sue modalità. La sua funzione è perciò quella di apprestare le misure tecniche e organizzative adeguate per garantire la protezione dei dati.
Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Ai sensi dell’art. 28, tale soggetto deve presentare garanzie sufficienti, in particolare, in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR. E, a tali fini, l’applicazione di un codice di condotta o di un meccanismo di certificazione può essere utile a dimostrare il rispetto degli obblighi.
Il rapporto tra il titolare e il responsabile del trattamento deve essere regolato da un contratto di affidamento dell’incarico stipulato per iscritto che, oltre a vincolare a vicenda le due figure, deve prevedere in dettaglio quale sia materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati si riferiscono.
Il responsabile del trattamento può a sua volta avvalersi di altro responsabile.
Anche in tal caso deve esservi un contratto scritto che imponga a questi, gli stessi obblighi previsti dall'art. 28 per il contratto da stipularsi tra titolare e responsabile del trattamento.
Il nostro Paese ha anche introdotto la figura dell’”incaricato” del trattamento, definito come la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento.
Il titolare del trattamento è responsabile, ai sensi dell’art. 24 per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare deve essere in grado di dimostrare la conformità delle attività di trattamento con il Regolamento stesso e deve mettere in atto misure adeguate ed efficaci volte a garantire ciò.
Il Regolamento ha introdotto un livello molto alto di responsabilità del titolare del trattamento rispetto alla Direttiva 95/46/CE sulla protezione dei dati in quanto non vengono individuate misure di sicurezza minime e prestabilite, ma è il titolare che, sotto la sua responsabilità deve individuare e approntare le misure adeguate. Il suo grado di responsabilità, valutato sulla base dell’apprestamento di misure correttive appropriate in sede di applicazione delle sanzioni, può dipendere da molteplici aspetti:
- se sono state attuate misure tecniche che seguono i principi della protezione dei dati fin dalla progettazione o per impostazione predefinita – di default a tutti i livelli dell’organizzazione;
- se è stato messo in atto un livello di sicurezza adeguato;
- se è stato approntato un sistema efficace di applicazione del sistema di sicurezza e se questo è conosciuto e applicato dall’organizzazione.
Gli artt. 25 e 32 del GDPR prevedono che i titolari del trattamento tengano conto “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.
L’art. 26 prevede la possibilità di istituire contitolari del trattamento. Ciò si ha quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento.
Anche in tal caso è necessaria una chiara ripartizione delle responsabilità, che viene determinata sulla base di un accordo interno, con particolare riguardo all’esercizio dei diritti dell’interessato per evitare che l’interessato non sappia a chi rivolgersi per esercitare i propri diritti.
L’art. 27 prevede che il titolare del trattamento o il responsabile del trattamento non stabilito nell’Unione Europea e che tratti dati personali di interessati che si trovano nell’Unione e le sue attività di trattamento sono connesse all’offerta di beni o alla prestazione di servizi a tali interessati, nomini un rappresentante, fatta eccezione per il caso in cui il trattamento sia occasionale, non includa il trattamento -su larga scala - di categorie particolari di dati o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche o, infine, se il titolare del trattamento è un’autorità pubblica o un organismo pubblico.
Il rappresentante dovrebbe essere esplicitamente incaricato, mediante mandato scritto del titolare o del responsabile del trattamento, ad agire per conto di questi ultimi, con riguardo agli obblighi loro spettanti e con la possibilità di essere interpellato da qualsiasi autorità di controllo.
La nomina di tale rappresentante non esclude la responsabilità generale del titolare del trattamento o del responsabile del trattamento.
L’art. 28 prevede che quando il titolare del trattamento affida delle attività a un responsabile del trattamento, debba ricorrere a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell’interessato.
L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.
Per dimostrare la conformità alle disposizioni contenute nel GDPR, il titolare e il responsabile del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità.
Il registro dei trattamenti è obbligatorio solo per aziende con oltre 250 dipendenti e deve essere redatto soltanto da specifiche categorie di titolari elencate nel Regolamento.
La finalità della previsione è di esibirlo all'autorità di controllo nel caso il Garante lo richiedesse.
Perché sia utile all'autorità di controllo, dovrebbe consentire di avere un quadro completo di tutti i trattamenti, dei dati e delle misure di sicurezza approntate.
La seconda funzione, più programmatica, è che tramite la compilazione di un registro dei trattamenti, e un suo costante aggiornamento, si può impostare sin dall'inizio un approccio alla sicurezza molto corretto, che tenga in ogni momento sotto controllo la vita del dato e i comportamenti di chi tratta il dato stesso.
L’Articolo 30 descrive il contenuto minimo dei registri delle attività di trattamento, che dovrebbero contenere tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (ciò consente di individuare all’istante i vertici del trattamento);
b) le finalità del trattamento (ossia per quali fini i dati sono stati raccolti);
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (questa si tratta di una delle novità più interessanti, strettamente correlata a una previsione esplicita della data di “morte” del dato);
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative predisposte.
Il registro dei trattamenti non è, quindi, un semplice registro, ma contiene tutte le informazioni essenziali per comprendere la strategia di compliance adottata nel contesto concreto.
Il GDPR preve poi un altro importante adempimento che è il Privacy Impact Assessment.
Deve essere elaborato soltanto in determinati casi e soprattutto quando si trattano dati super-sensibili e i dati trattati possono mettere in pericolo i diritti degli interessati.
Il Privacy Impact Assessment è in pratica l’operazione da effettuare per valutare il rischio, ma anche il documento che si occupa della descrizione dell’analisi della probabilità e della gravità del rischio.
La valutazione d’impatto sulla protezione dei dati è prevista dall’articolo 35.
1.   Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.
L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato.
Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.
Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.”