I soggetti del trattamento di dati personali: il titolare del trattamento, il responsabile del trattamento, il responsabile per la protezione dei dati (DPO)
Il GDPR prevede e disciplina diversi soggetti che operano in materia di trattamento dei dati personali: il titolare, che determina le finalità e i mezzi del trattamento di dati personali; il responsabile del trattamento, che tratta i dati per conto del titolare del trattamento, seguendo istruzioni precise, contenute in un contratto o altro atto giuridico vincolante; il responsabile per la protezione dei dati (DPO), che ha il compito di fornire un supporto consulenziale (al titolare o al responsabile che lo ha nominato) sul rispetto delle norme in materia di protezione dei dati, agendo al contempo da punto di contatto con l’autorità di controllo. Esaminiamo tali figure, le loro caratteristiche e i loro compiti.
1. Il Titolare del trattamento
Il Titolare del trattamento (“Controller”) è definito dall’art. 4 GDPR – analogamente a quanto previsto in precedenza dalla Direttiva 95/46 e dal Codice Privacy – come la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il GDPR attribuisce al Titolare obblighi molto pregnanti, finalizzati non soltanto al formalistico rispetto delle regole, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
Ai sensi dell’art. 24 GDPR, spetta infatti al Titolare individuare e adottare misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati venga eseguito conformemente al GDPR, tenuto conto della natura, ambito di applicazione, contesto, finalità e rischi del trattamento aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
A tal fine, il Titolare può aderire ad un codice di condotta o a un meccanismo di certificazione, fermo restando che tale adesione di per sé non lo pone al riparo da eventuali reclami o sanzioni.
L’art 2-quater Codice Privacy prevede che i titolari e i responsabili che eseguono trattamenti la cui base giuridica sia costituita dall’art. 6 par. 1 lett. c) ed e) GDPR (obbligo legale ed esecuzione di un compito di interesse pubblico o esercizio di un pubblico potere) sono tenuti a rispettare le regole deontologiche che il Garante dovrà adottare, e tale rispetto costituirà la condizione di liceità e correttezza del trattamento eseguito.
Se due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, sono da considerarsi contitolari del trattamento (art. 26, GDPR). Tali soggetti dovranno determinare in modo trasparente, mediante un accordo interno le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare attenzione ai diritti dell’interessato e alle rispettive funzioni di comunicazione delle informazioni previste dagli artt. 13 e14 GDPR. Tale accordo deve essere messo a disposizione dell’interessato, il quale, in ogni caso e a prescindere da quanto previsto dall’accorso stesso, potrà esercitare i propri diritti indifferentemente nei confronti di uno qualsiasi dei contitolari.
L’art. 29 GDPR prevede che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento possa trattare i dati personali ai quali ha accesso se istruito in tal senso dal titolare stesso. Tale situazione è regolata dall’art. 2-quaterdecies comma 1 Codice Privacy, il quale stabilisce che il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che dei compiti o delle funzioni specifici connessi al trattamento dei dati personali vengano attribuiti a persone fisiche, espressamente designate (incaricati), che operano sotto la loro autorità.
Il successivo comma 2 dell’art. 2-quaterdecies Codice Privacy rimette al titolare o al responsabile del trattamento la scelta delle modalità, dalle stesse ritenute opportune, per compiere tale designazione, che potrà quindi avvenire attraverso modalità semplici e snelle come l’autorizzazione verbale o quella esplicitamente contenuta nel contratto di lavoro del dipendente.
2. Il registro delle attività di trattamento
L’art. 30 del GDPR prevede che sia il Titolare che il Responsabile del trattamento devono tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro appare molto simile al Documento Programmatico sulla Sicurezza (“DPS”), che era previsto dal Codice Privacy ed è stato poi abrogato dal DL n. 5/2012 (c.d. Decreto semplificazioni).
Come il DPS, anche il registro delle attività di trattamento deve contenere tutte le informazioni relative all’identità del titolare, ai soggetti responsabili, alle finalità del trattamento, alle categorie di soggetti a cui i dati vengono comunicati, ai termini di conservazione e cancellazione dei dati e, soprattutto, alle misure di sicurezza tecniche e organizzative adottate. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta dell’Autorità Privacy.
Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte della DPA, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio.
L’art. 30 par. 5 del GDPR prevede che l’obbligo di tenuta del registro non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9 par. 1, o i dati personali relativi a condanne penali e a reati di cui all’art. 10 del GDPR.
Il registro deve contenere:
- nome e dati di contatto del Titolare, contitolare, rappresentante del Titolare e DPO ( par. 4);
- finalità del trattamento;
- categorie di interessati e di dati personali;
- ambito di comunicazione, anche verso Paesi terzi;
- ove possibile, i termini ultimi per la cancellazione delle diverse categorie dei dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Quest’ultimo elemento è probabilmente il più rilevante del registro dei trattamenti, in quanto la descrizione delle misure di sicurezza implica la necessità di procedere ad un’analisi dettagliata dei rischi in relazione a vari fattori, quali il contesto in cui le attività di trattamento sono svolte, le modalità del trattamento, gli strumenti utilizzati ed il luogo di conservazione.
Anche il Responsabile del trattamento (v. par. 3) deve avere, al ricorrere delle medesime condizioni previste per il Titolare (250 dipendenti o trattamento di dati particolari), un proprio registro delle attività di trattamento, con contenuto analogo e complementare a quello redatto dal Titolare, ad eccezione della descrizione delle finalità e l’indicazione dei termini di cancellazione, previsti nel solo registro del Titolare del trattamento.
3. Il Responsabile del trattamento
L’art. 4 n. 8 del GDPR definisce il Responsabile del trattamento (“Data Processor”) come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento, tramite nomina documentata per iscritto e assoggettamento al potere di controllo e disciplinare.
L’art. 28 del GDPR stabilisce che il Responsabile può essere scelto dal Titolare solo se in possesso di garanzie sufficienti per porre in essere misure tecniche ed organizzative adeguate al rispetto del GDPR ed alla tutela dei diritti dell’interessato. A tal fine, il titolare deve prendere in considerazione:
- le conoscenze specialistiche del responsabile (come, ad esempio, le competenze tecniche in materia di misure di sicurezza e violazioni dei dati);
- l’affidabilità del responsabile;
- le risorse in suo possesso.
Se pertanto il Responsabile si dovesse rilevare inadeguato a trattare i dati affidatigli dal Titolare, sarà unicamente quest’ultimo a rispondere nei confronti dell’interessato e della DPA (salvo rivalsa nei confronti del Responsabile).
Il GDPR prevede alcuni obblighi specifici in capo al Responsabile del trattamento – distinti da quelli pertinenti al Titolare – dei quali il Responsabile è direttamente responsabile, esponendosi, in tal modo, a sanzioni e conseguenze risarcitorie in caso di mancata ottemperanza. In particolare, il Responsabile è obbligato:
- ad avvisare, assistere e consigliare il titolare, fornendo l’assistenza richiesta dal titolare del trattamento, tenuto conto della natura del trattamento e delle informazioni a disposizione.
- alla tenuta del registro dei trattamenti svolti (art. 30 par. 2 GDPR);
- all’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32);
- alla designazione di un DPO nei casi previsti dal GDPR o dal diritto nazionale (v. par. 4).
Per quanto attiene in particolare agli obblighi connessi alla Data Breach, il Responsabile deve informare il titolare senza giustificato ritardo dopo avere avuto conoscenza di una violazione dei dati. Le linee guida del WP 29 precisano in proposito che il Responsabile è tenuto a notificare al titolare ogni violazione di dati che lo stesso subisca. Il Responsabile non ha invece il compito di stabilire se sussista un rischio per diritti e libertà delle persone fisiche e se sia elevato o meno.
Ai sensi dell’art. 28 par. 3 GDPR, il titolare deve designare il responsabile del trattamento attraverso un contratto o altro atto giuridico conforme al diritto nazionale. Si tratta, in altri termini, di un accordo tra il titolare e il responsabile del trattamento, contenente dettagliate istruzioni affinché vengano rispettati i requisiti tutti di cui all’art. 28 del GDPR, onde garantire che il responsabile tratti i dati personali in conformità con lo stesso GDPR. La mancata definizione del rapporto con il responsabile del trattamento comporta la violazione dell’art. 28 GDPR, e l’irrogazione delle conseguenti sanzioni (su cui oltre).
Tale contratto deve contenere quindi:
- l’oggetto del trattamento (ad esempio, registrazioni di videosorveglianza di persone che entrano o escono da una struttura ad alta sicurezza);
- la durata del trattamento;
- la natura del trattamento, ovvero il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del trattamento;
- la tipologia di dati personali (ad esempio: le immagini video delle persone che entrano ed escono dalla struttura);
- le categorie di interessati: anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico (ad esempio: «visitatori», «dipendenti», servizi di consegna ecc.);
- gli obblighi e i diritti del titolare del trattamento: tra gli obblighi figurano ad esempio quello di fornire al responsabile del trattamento i dati di cui al contratto, di fornire e documentare qualsivoglia istruzione relativa al trattamento dei dati da parte del responsabile del trattamento, di garantire, prima e durante l’intero corso del trattamento, l’adempimento degli obblighi di cui al GDPR posti in capo al responsabile, di controllare detto trattamento anche mediante attività di revisione e ispezioni unitamente al suddetto responsabile, etc..
Il contratto deve prevedere inoltre disposizioni dettagliate relative a:
- frequenza e modalità del flusso di informazioni tra il responsabile e il titolare del trattamento, in modo tale che quest’ultimo sia pienamente informato in merito agli elementi del trattamento atti a dimostrare il rispetto degli obblighi di cui all’articolo 28 del GDPR;
- l’assistenza che il responsabile del trattamento è tenuto a fornire, a seconda del tipo di attività affidata allo stesso.
Il titolare del trattamento deve fornire al responsabile istruzioni relative a ciascuna attività di trattamento, le quali devono essere documentate, in qualsiasi forma scritta (ad esempio per posta elettronica). A tal fine, è opportuno prevedere nel contratto una procedura attraverso la quale vengono fornite tali istruzioni.
Occorre in ogni caso evidenziare che, sebbene la gestione pratica delle singole richieste possa essere esternalizzata al responsabile del trattamento, è al titolare che spetta soddisfarle; pertanto, la valutazione dell’ammissibilità delle richieste degli interessati e/o del rispetto dei requisiti di cui al GDPR deve essere comunque effettuata dal titolare del trattamento, caso per caso o mediante istruzioni chiare fornite al responsabile per mezzo del contratto prima dell’inizio del trattamento.
La Commissione europea nel giugno 2021 ha adottato le clausole contrattuali tipo per regolamentare i rapporti tra titolare e responsabile.
Ai sensi dell’art. 82 par. 2 GDPR, il Responsabile risponde del danno cagionato dalla violazione del GDPR solo non ha adempiuto agli obblighi impostigli dal GDPR o se abbia agìto in modo difforme o contrario alle legittime istruzioni del Titolare. A tal proposito, l’art. 28 par. 3 GDPR prevede che il Responsabile deve informare immediatamente il titolare se, a suo parere, un’istruzione impartita dal Titolare stesso sia in violazione del GDPR o di altre norme, nazionali o europee, relative alla protezione dei dati. Inoltre, l’art. 83 par. 4 GDPR prevede che la sanzione amministrativa pecuniaria fino a 10.000,00 euro o al 2% del fatturato sia irrogata ai Responsabili che abbiano violato gli obblighi imposti dagli artt. 25-39 e 42-43 del GDPR.
Il Responsabile del trattamento può nominare un sub-responsabile del trattamento, previa autorizzazione scritta del Titolare del trattamento, per l’esecuzione di specifiche attività di trattamento per conto del Titolare (art. 28 par. 4).
Il sub-responsabile del trattamento deve impegnarsi a rispettare, mediante contratto o altro atto giuridico a norma del diritto dell’UE o degli Stati membri, gli stessi obblighi (in materia di protezione dei dati) contenuti nel contratto o in altro atto giuridico a cui è soggetto il primo Responsabile del trattamento nei confronti del Titolare del trattamento. Il Responsabile risponde dinanzi al Titolare dell’inadempimento degli obblighi del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82 par. 1 – 3 GDPR).
La violazione dell’art. 28 del GDPR determina, in caso di verifica (conseguente a segnalazione, reclamo, data breach o visita ispettiva) l’irrogazione di sanzioni amministrative pecuniarie di cui al primo scaglione, ovvero fino a 10 milioni di Euro oppure, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Per un esempio di atto di nomina del responsabile esterno del trattamento, cliccare qui.
4. Il Data Protection Officer (DPO)
Il Data Protection Officer (DPO), o Responsabile della Protezione dei Dati, è la figura che – per obbligo normativo o per scelta del titolare o del responsabile del trattamento – ha il compito di orchestrare il processo di governance dei trattamenti di dati personali affinché sia conforme alla legge, sovraintendendo alla progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati, e coadiuvando il titolare/responsabile nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui il titolare/responsabile opera.
Ai sensi dell’art. 37, par. 4 del GDPR, il DPO deve essere nominato obbligatoriamente in tre casi:
- se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- se l’attività principale del Titolare o del Responsabile del trattamento consista in trattamenti di dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- se l’attività principale del Titolare o del Responsabile del trattamento consiste nel trattamento su larga scala di categorie particolari di dati personali relativi a condanne penali e a reati.
Per quanto concerne l’ipotesi del trattamento su larga scala, il WP 29 menziona i seguenti criteri che devono essere presi in considerazione:
- il numero di interessati coinvolti, anche in proporzione alla popolazione rilevante;
- il volume dei dati e/o la tipologia delle diverse particolarità dei dati trattati;
- la durata e sistematicità del trattamento dei dati;
- l’estensione geografica del trattamento.
Negli altri casi, la nomina del DPO è facoltativa, a meno che gli Stati membri non deroghino con discipline nazionali più restrittive. In proposito, il WP 29 raccomanda che titolari e responsabili che abbiano valutato e deciso di non nominare un DPO documentino tale scelta, motivandola adeguatamente
Ai sensi dell’art. 38 par 3 del GDPR, Il DPO deve operare alle dipendenze del Titolare o del Responsabile del trattamento oppure sulla base di un contratto di servizio, riferisce direttamente a tali figure ma deve adempiere le sue funzioni in piena indipendenza e in assenza di conflitti di interesse, sia con figure manageriali di vertice (quali amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane etc.), che con posizioni gerarchicamente inferiori, qualora queste ultime comportano la determinazione di finalità o mezzi del trattamento.
Ciò significa, in particolare, che un DPO non può rivestire, all’interno dell’organizzazione dell’impresa, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.
Il DPO inoltre deve disporre di una notevole libertà di mezzi e di giudizio, in quanto il GDPR prevede che al DPO devono essere fornite «le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica», che lo stesso non deve ricevere “alcuna istruzione per quanto riguarda l’esecuzione di tali compiti» né può essere «rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti».
Si tratta dunque di una figura con idonea preparazione tecnica e dotata di spiccate competenze specialistiche, in grado di intervenire tempestivamente per adeguare i trattamenti alle disposizioni del GDPR e di interloquire per conto del Titolare o del Responsabile con l’Autorità Garante. Quest’ultima ha precisato peraltro che, anche se il GDPR non prevede l’obbligo per i candidati al ruolo di DPO di possedere attestati formali delle competenze professionali, tali attestati possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina, pur non equivalendo ad una “abilitazione” allo svolgimento del ruolo di DPO.
Il DPO è in genere un professionista esterno all’organizzazione, che ricopre tale ruolo in base a un contratto di servizi, ma può anche essere un dipendente del titolare o del responsabile del trattamento (art. 37, par. 6, GDPR). Le organizzazioni più complesse, come ad esempio i gruppi imprenditoriali, possono nominare un solo DPO, purché sia facilmente raggiungibile da ciascuno stabilimento (art. 37, par. 2, GDPR). Lo stesso potranno fare più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (art. 37, par. 3, GDPR).
L’indipendenza e l’autonomia del DPO si riflette nella sua posizione all’interno dell’organizzazione aziendale. Pertanto, è necessario che:
- il titolare e il responsabile del trattamento assicurino che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti alla protezione dei dati personali;
- al DPO siano garantite le risorse necessarie per assolvere i compiti di cui all’art. 39 GDPR, accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
- il DPO eserciti i propri compiti senza dipendere da istruzioni impartite dal titolare o dal responsabile del trattamento e, di conseguenza, non può essere rimosso o penalizzato per l’adempimento dei propri compiti. Nello svolgimento dei propri compiti, inoltre, il DPO:
- riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento;
- è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti;
- non può svolgere altri compiti e funzioni in conflitto di interessi;
- è il punto di contatto con gli interessati, per l’esercizio dei loro diritti o altra questione relativa al trattamento dei dati personali.
Il ruolo di DPO è compatibile con altri incarichi all’interno della medesima organizzazione, purché non sia in conflitto di interessi. Per scongiurare situazioni di conflitto di interessi, è preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). L’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale) è da valutare caso per caso.
Ai sensi dell’art. 39 del GDPR, il DPO deve sempre essere «tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali». Il DO è quindi chiamato ad assumere un ruolo decisivo e centrale nell’ambito dei trattamenti compiuti sia dai titolari che dai responsabili del trattamento, e per tale motivo deve essere sempre specificamente indicato nelle informative rese ai soggetti interessati, nei registri delle attività di trattamento [v. par. 2] (del Titolare e del Responsabile) e nelle eventuali notifiche all’Autorità Garante.
In particolare, l’art. 39 del GDPR prevede i seguenti compiti del DPO (e l’elencazione deve ritenersi non esaustiva):
- informare e fornire al Titolare, al Responsabile e ai dipendenti che eseguono il trattamento, consulenza in merito agli obblighi normativi in materia;
- sorvegliare l’osservanza della normativa in materia di protezione dei dati personali e delle politiche in materia del Titolare o del Responsabile del trattamento, compresi l’attribuzione di responsabilità, la sensibilizzazione e formazione del personale che partecipa al trattamento e al controllo in merito;
- fornire, se richiesto, pareri sulla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con la l’Autorità Garante e fungere da punto di riferimento con quest’ultima per questioni connesse al trattamento.
Il DPO non è personalmente responsabile in caso di inosservanza del GDPR; la responsabilità di garantire l’osservanza della normativa in materia di protezione dei dati ricade sul Titolare e sul Responsabile del trattamento. Per tale motivo, il GDPR non prevede sanzioni nei confronti del DPO in caso di inosservanza dei propri compiti; in tal caso, il DPO risponderà nei confronti del Titolare secondo i principi sulla responsabilità contrattuale, ai sensi dell’art. 1176 codice civile.
Per approfondire i nostri servizi di assistenza e consulenza in tema di compliance aziendale, visionate la pagina dedicata del nostro sito.
Avv. Valerio Pandolfini
Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.
Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.