I Rapporti tra il Responsabile e il Titolare del Trattamento

Il Regolamento GENERALE sulla protezione dei dati regola il trattamento dei dati personali con la finalità di uniformare e adeguare in modo omogeneo la disciplina relativa al trattamento dei dati dei cittadini dell’UE per meglio garantire la tutela degli stessi.

Ma cosa intendiamo per TRATTAMENTO?

Per trattamento dati  si intende “ qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati“ secondo quando disposto dall’art. 4 GDPR.

per dati?

La definizione di dato personale proviene sempre dall’articolo 4 GDPR, si tratta di “ qualsiasi informazione riguardante una persona fisica identificata o identificabile“ 

I protagonisti principali attorno ai quali ruota l’intera disciplina del trattamento dei dati sono il titolare del trattamento e il responsabile del trattamento.

Il primo si occupa di definire e determinare i mezzi e le finalità del trattamento il secondo è colui che gestisce tratta e garantisce i dati per conto del primo. Le due figure sono chiaramente esposte e disciplinate al Capo IV del gdpr agli artt. 24-43.

Il rapporto che intercorre tra il responsabile del trattamento e il titolare del trattamento è, per motivi di trasparenza, un rapporto di tipo contrattuale; l’eventuale mancanza di stipulazione del contratto rappresenta una violazione degli obblighi di documentazione scritta che incombono in capo al titolare, che possono determinare l’irrogazione di sanzioni in capo a quest’ultimo.

Il titolare deve infatti rendere conto, su richiesta, all’autorità di controllo delle sue attività e delle sue forme di cooperazione, mediante esposizione e messa a disposizione delle autorità dei registri. È proprio l’articolo 30 che disciplinando questo aspetto prevede, infatti, che tale registro contiene  informazioni quali: “il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali..”

Il contratto scritto deve contenere tutta la materia disciplinata la natura del trattamento e la tipologia dei dati degli interessati.

Tramite questo accordo contrattuale vincolante il responsabile e il titolare del trattamento dei dati regolano tutta la disciplina della loro attività. Essi convengono infatti sulla modalità sulla natura e la durata del trattamento stesso, pongono in essere tutte le condizioni e le disposizioni necessarie per le attività oggetto dell’atto. In particolare il titolare del trattamento espone le istruzioni da impartire al responsabile e tutte le misure che lo stesso deve adottare per le finalità accordate.

Il titolare del trattamento si trova quindi a controllare adeguatamente il potere decisionale del responsabile in ordine alle misure adottate al fine di garantirne la conformità al diritto della tutela dei dati.

Sia il titolare che il responsabile del trattamento possono aderire ad una serie di norme di condotta che certifichino e dimostrino l’osservanza del regolamento.

Quali sono tutti gli obblighi del responsabile? Esaminiamoli insieme nel dettaglio analizzando la norma che li prevede, l’articolo 28 comma 3. 

L’accordo giuridico che disciplina infatti il rapporto tra i due soggetti prevede, in particolare, che il responsabile del trattamento: “tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; 
-garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

-assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

-assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; 

-metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.”

Sia il titolare che il responsabile sono entrambi onerati dall’obbligo responsabilizzazione e rendicontazione che si concretizza nel principio di Accountability mediante la messa in atto di misure e comportamenti atti a provare un reale adeguamento alla normativa imposta dal regolamento. Al riguardo è importante esaminare la disciplina degli artt. 32-34 del regolamento secondo cui titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.”

Tra gli obblighi ripartiti tra responsabile e titolare abbiamo la cd valutazione d’impatto (strettamente connessa alla valutazione del rischio) tramite la scelta di una serie di operazioni che mirano ad ammortizzare l’impatto di tutte quelle misure adottate che non si siano rilevate idonee a sostenere il rischio per il te trattamento dei dati personali degli utenti.

Per meglio comprendere cosa intendiamo per rischio occorre leggere attentamente il contenuto del Considerando 75 del gdpr che dispone “rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza”.

Cosa accade se il responsabile del trattamento non osserva Le istruzioni impartite dal titolare?

Possono presentarsi dei casi in cui un responsabile non osserva attentamente tutte le misure e le istruzioni imposte dal titolare, cosa avviene in questo caso?

In tal caso il responsabile diviene titolare nella misura in cui non si è attenuto alle istruzioni del titolare del trattamento e abbia agito oltre i limiti convenuti e prescritti.

“Spetta quindi al titolare del trattamento originario Spiegare in che modo sia stato possibile che il responsabile del trattamento sia venuto meno al suo mandato”.

In caso invece di ripartizione dei ruoli e delle responsabilità, il gruppo di lavoro articolo 29 afferma che in tali casi il livello di responsabilità “non deve ridursi sulla base della sperequazione economica e occorre attenersi all’interpretazione del concetto di titolare del trattamento”.

In ogni caso anche qualora si decida di affidare ad altri terzi responsabili l’insieme delle attività e delle gestioni concordate e precedentemente pattuite, sarà sempre il responsabile originariamente indicato dal titolare a rispondere degli obblighi e degli eventuali inadempimenti altrui.

I dati infatti devono essere attentamente custoditi per tutto l’arco temporale in cui devono essere espletate tutte le funzioni oggetto dell’accordo, nella rigorosa osservanza della privacy e di tutta la normativa vigente a riguardo.

Conclusasi l’attività di trattamento il responsabile ha l’obbligo di rimuovere tutte le informazioni di cui è venuto a conoscenza in virtù del suo mandato. Nel caso di diritto all’oblio inteso come diritto alla cancellazione dei dati personali da tutte le banche dati e dai siti internet contenenti dati strettamente personali di un soggetto. L’art 17 del gdpr stabilisce a riguardo che “Ove, poi, Il titolare del trattamento abbia reso pubblici i dati personali è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, deve adottare misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.”

Conclusioni.

Al giorno d’oggi con il dilagare della tecnologia e degli strumenti di ricerca ad essa connessi risulta di necessaria importanza leggere attentamente termini, condizioni e informative sulla privacy al fine di evitare di prestare il consenso al trattamento dei dati laddove questo implichi un implicito slittamento dei nostri dati altrove e per altre finalità.

Ti è piaciuto l’articolo? Hai trovato interessante l’argomento? Clicca qui per saperne di più o chiedi una consulenza legale se sei interessato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *