PRIVACY PILLS : 5 – I Soggetti Coinvolti
TITOLARE, COTITOLARE, RESPONSABILE E INCARICATO AL TRATTAMENTO
Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al “Consenso”
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all’ “Informativa”.
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a “il Responsabile”
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai “Diritti dell’Interessato”
La pillola di oggi riguarda: Titolare, Contitolare, Responsabile e Incaricato del Trattamento
Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.
Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali, ovvero decide il «perché» e il «come» devono essere trattati i dati personali. I dipendenti che trattano i dati personali all’interno dell’organizzazione aziendale lo fanno per adempiere ai compiti di titolare del trattamento dell’azienda/organizzazione.
Il contitolare del trattamento si configura quando, l’azienda/organizzazione insieme a una o più organizzazioni definisce congiuntamente il «perché» e il «come» devono essere trattati i dati personali. I contitolari del trattamento sono tenuti a stipulare un accordo che definisca le rispettive responsabilità nel rispetto delle norme del GDPR. I contitolari del trattamento sono tenuti a comunicare alle persone i cui dati sono oggetto di trattamento, i contenuti del summenzionato accordo.
Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento ed è, solitamente, un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Un’attività tipica svolta dai responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’istallazione di sistemi e l’archiviazione su cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.
Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.
Cosa cambia:
- Il GDPR disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.
- Il nuovo regolamento, inoltre, fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
- Infine, il GDPR consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
Il consiglio proposto per tutte le pills è oltremodo valido per questo argomento che presenta profili di valutazione della presenza e consistenza delle lettere d’incarico all’interno dell’azienda. L’unico consiglio che possiamo proporre per rendersi conto della necessità dell’adeguamento al GDPR è quello di ricercare le lettere d’incarico di responsabili e incaricati e confrontarne il contenuto con le prescrizioni degli articoli sopra citati.
A differenza delle pills precedenti riproporremo gli esempi elaborati dalla Commissione Europea per valutare la propria posizione e quella dei propri Partner.
Titolare del trattamento e responsabile del trattamento
Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento.
Contitolari del trattamento
La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé. Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.
Avv. Fabio Maggesi
- Posted by MepLaw
- On 27 Aprile 2018