TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

Posted on Jul 20, 2018 by Administrator

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

1. Chi è il titolare dei trattamenti dei dati personali?

Il 24 maggio a Bologna, il Garante della Privacy italiano ha incontrato i “Responsabili della protezione dei dati personali (RPD)” , pubblici e privati. L’evento ha avuto una grossa rilevanza mediatica ed è stato interamente ripreso in un video disponibile a questo link: https://www.youtube.com/watch?v=dG8KCEdVa9k .

È stato in quell’occasione ribadito il concetto di “ titolare del trattamento” come definito all’art. 4 paragrafo 7 del Regolamento UE:

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri

Nelle considerazioni (i c.d. considerando) preliminari al Regolamento UE, si dice:

(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Per i trattamenti che vengono eseguiti nelle amministrazioni il titolare è il “Comune” persona giuridica; molto più complicato definire quale persona fisica eserciti questa funzione.

Il sindaco è certamente il legale rappresentante del Comune e, in caso di un processo per mancata adozione delle misure di sicurezza in materia di privacy, rappresenta questa titolarità; ma se il comune deve comprare un “firewall” per mettere in sicurezza i dati, il sindaco non può farlo.

Il dirigente o PO con riconoscimento delle funzioni dirigenziali, deve comprare il “firewall” necessario e stipulare l’eventuale contratto con l’azienda che svolge la funzione di “Responsabile del trattamento”; ma se il comune deve emanare un regolamento sulla privacy, non lo fa né il sindaco né il dirigente.

Il consiglio comunale, può fare il regolamento sulla privacy o sul diritto di accesso, ma non può definire né gli assetti interni degli uffici, per definire chi deve applicare dette norme, né definire le somme del bilancio, che vengono poi assegnate con il PEG.

La giunta comunale, definisce gli assetti, adotta il regolamento di organizzazione e definisce, con il PEG, le risorse umane e finanziarie da assegnare, ad esempio, alla sicurezza degli archivi di dati personali cartacei e informatici, ma non può nominare i dirigenti a cui assegnare dette risorse.

Il sindaco nomina i dirigenti; chiudiamo così il “cerchio” delle funzioni, ma non abbiamo risposto alla domanda: “ chi è la persona fisica che esercita la funzione di titolare del trattamento che è attribuita al comune?

2. Attribuzioni e competenze

Il terzo comma dell’art. 97 della Costituzione dice:

Nell'ordinamento degli uffici sono determinate le sfere di competenza, le attribuzioni e le responsabilità proprie dei funzionari.

A tal proposito, Pietro Virga, nel suo insperabile manuale di diritto costituzionale, ci dà la risposta che ricerchiamo:

Ad ogni organo è attribuita una porzione di potestà delimitata dalla competenza, la quale è la misura della quantità di potestà assegnata all’organo.

Tradotto in pratica: il comune è il titolare del trattamento e ciascun organo del comune, in base all’ordinamento degli uffici, definito dalla legge (TUEL) e dal regolamento ex art. 49 3° comma del TUEL ( 3. E', altresì, di competenza della giunta l'adozione dei regolamenti sull'ordinamento degli uffici e dei servizi, nel rispetto dei criteri generali stabiliti dal consiglio. ), partecipa di detta titolarità.

Volendo esemplificare ulteriormente, si potrà ad esempio dire che l’ufficiale d’anagrafe delegato dal sindaco partecipa della titolarità del trattamento, perché il certificato con i dati personali che sottoscrive, ha validità esterna.

L’agente di PM o PL che sottoscrive un verbale, in cui vengono trattati i dati personali di un contravventore, partecipa a detta titolarità del trattamento.

Il comune a) potrà emettere un regolamento in cui dice che la funzione del “titolare del trattamento” è esercitata dal sindaco. Il comune b) potrà dire che è esercitata dal dirigente o dal direttore generale. Ma sbagliano entrambi, perché non hanno presente né l’art. 97 né il breve pensiero di Virga che abbiamo riportato.

  1. Cosa Cambia?

Il Regolamento disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all´esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;

fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell´art. 28 al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

Consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso "non gli è in alcun modo imputabile" (si veda art. 82, paragrafo 1 e paragrafo 3);

prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare,  la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l´adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati adottate dal Gruppo "Articolo 29", disponibili qui anche nella versione in italiano: www.garanteprivacy.it/regolamentoue/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell´Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all´art. 27, paragrafo 3, del regolamento – diversamente da quanto prevedeva l´art. 5, comma 2, del Codice.

  1. Cosa Non Cambia?

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell´ "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile" (si veda, in particolare, art. 4, n. 10, del regolamento).

4. Raccomandazioni del garante….

I titolari di trattamento dovrebbero valutare attentamente l´esistenza di eventuali situazioni di contitolarità (si vedano, in proposito, le indicazioni fornite dal Garante in vari provvedimenti, fra cui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785), essendo obbligati in tal caso a stipulare l´accordo interno di cui parla l´art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il "punto di contatto per gli interessati" previsto dal suddetto articolo ai fini dell´esercizio dei diritti previsti dal regolamento.

I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall´art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.

Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di "responsabilizzazione" di titolari e responsabili del trattamento che prevede l´adozione di misure atte a garantire proattivamente l´osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del Codice e, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507921, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953  in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e dimostrare "che il trattamento è effettuato conformemente" al regolamento (si veda art. 24, paragrafo 1, del regolamento).

 

  1. Il responsabile (esterno) del trattamento dei dati personali del comune

Il Regolamento UE all’art. 4 paragrafo 8 definisce:

«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento […]

All’art. 28 comma 3 prevede:

[…] 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. […]

Diamo per scontato che, chi ci legge, conosca la differenza tra la figura di garanzia e controllo del Responsabile della protezione dei dati, da quella del Responsabile del trattamento che gestisce materialmente i dati.

  1. Alcuni esempi di “Responsabile del trattamento”

Al di là della chiarezza del nuovo Regolamento UE, ci sembra utile fare un paio di esempi.

Il concessionario della riscossione: a seguito di apposita gara il comune conferisce ad una ditta esterna la funzione di riscuotere i propri tributi e gli consegna gli elenchi di dati personali. Nel momento in cui il concessionario ottiene questi dati, nella prospettiva della privacy, diventa un “Responsabile del trattamento”.

La software house che fornisce il gestionale dell’anagrafe: se la ditta fornisce solo servizi e beni e non gestisce i dati dell’anagrafe è un semplice fornitore, ma se invece fa le copie di sicurezza dell’archivio anagrafico o bonifica alcuni dati che contengono errori, diventa, sempre ai fini della privacy, un “Responsabile del trattamento”.

È abbastanza intuitivo che entrambi i fornitori, responsabili del trattamento, con i dati del comune non potranno che eseguire le operazioni per cui hanno ottenuto questi dati. In questo contesto dovranno adottare tutte le misure adeguate perché non avvengano violazioni.

  1. La nuova clausola contrattuale

Dal 25 maggio quando il comune stipulerà un contratto di fornitura di servizi o beni in cui siano coinvolti i dati personali di cui sia titolare, dovrà prevedere un’apposita clausola contrattuale in cui si “nomina” il fornitore come “responsabile del trattamento” e gli si danno le “consegne” relative a questa nomina.

  1. La “nota integrativa” per i contratti in essere, proposta dal comune.

È noto che l’art. 1418 del CC prevede che “il contratto è nullo quando è contrario a norme imperative, salvo che la legge disponga diversamente”.

Dal 25 maggio il Regolamento UE è una norma imperativa e se il contratto non rispetta le sue disposizioni si dovrà scegliere se “risolvere consensualmente” il contratto, se stipularne uno nuovo con la clausola vista al paragrafo precedente o se semplicemente integrare quello vigente, con una nota integrativa. La nota integrativa è uno scambio di lettere e può avere inizio da uno o dall’altro contraente.

Viene inviato come allegato alla presente lettera un esempio di Designazione del responsabile del Trattamento ai sensi dell’Articolo 28 del regolamento UE 2016/679

No tags added.

New blog posts

Privacy - Concessione di Contributi economici
Privacy - Concessione di Contributi economici

Jul 20, 2018 by Administrator

Nota 3.8 del 05/07/2018 in merito a...

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

Jul 20, 2018 by Administrator

1. Chi è il titolare dei trattamenti...

Privacy - Come si costruisce un'informativa
Privacy - Come si costruisce un'informativa

Jul 20, 2018 by Administrator

Nota 3.9 del 12/07/2018 in merito a...

View all blog entries →