Il Titolare del Trattamento Dati nel GDPR

Chi è il titolare del trattamento. I co-titolari del trattamento dati.

Con l’avvento del GDPR si parla molto del trattamento dati personali e della privacy.

Ciò avviene in quanto il GDPR, Regolamento UE 2016/679, prendendo molto seriamente la questione dei dati personali, protegge questi dati in larga scala, ponendo delle regole molto precise inserite negli articoli del Regolamento che tratta questo argomento (se vuoi saperne di più sul GDPR leggi l’articolo Il GDPR cos’è, cosa prevede, chi è obbligato).

Fatta questa brevissima premessa, andiamo ad analizzare il primo soggetto (e forse più importante) protagonista di questo nuovo corpo di norme: ovvero il titolare del trattamento dati.

A questo punto ci chiediamo chi è il titolare del trattamento dati? Che ruolo svolge? È possibile avere più titolari del trattamento dati?

Se vuoi conoscere le risposte a queste domande, continua a leggere l’articolo in cui è descritta la figura del titolare del trattamento dati e dei possibili co-titolari del trattamento dati a norma del regolamento.

Il titolare del trattamento dati

In primo luogo, è necessario chiarire che questa figura è esplicitamente disciplinata dall’art. 4 comma 1 n. 7 del GDPR , e risponde al cosiddetto filo logico che collega tutta questa disciplina, definito dallo stesso GDPR accountability” .

Questo termine, indica e ordina una responsabilità perfetta, competente e consapevole del trattamento dei dati personali.

Chi è allora che si assume il carico di questo tipo di responsabilità? Il titolare del trattamento dati: il quale, a norma del succitato articolo 4 , è “ la persona fisica o giuridica, autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento dati”.

Scomponiamo adesso la definizione dettata dalla norma.

Il primo profilo che emerge è quello del potere decisionale che investe il soggetto in questione. Ciò sta a dire che appartiene al titolare del trattamento, il potere di decidere in concreto, come e quali dati devono essere “trattati” , quindi anche quando devono essere trattati, a quali scopi devono essere trattati, e definire tutte le misure necessarie per proteggere questi dati e per trattarli in maniera corretta ai fini del Regolamento.

Pertanto, su tutti i profili attinenti al trattamento di dati sensibili e sulla loro gestione è competente e responsabile il titolare del trattamento dati.

Ma chi è il responsabile del trattamento? Una persona fisica o giuridica?

La norma già lo dice espressamente nelle prime tre parole, può essere tanto una persona fisica quanto una persona giuridica, quindi non solo un soggetto fisico ivi preposto, ma anche un ente, un’associazione, una pubblica amministrazione, o qualsiasi altro organismo che riveste il potere di gestione e decisione su dati sensibili, che sia egli stesso a trattarli o altri per suo conto.

Il titolare dovrà inoltre essere responsabile anche della cosiddetta “privacy be design” intesa dal regolamento come posizione predisposta ad assicurare che i dati vengano non soltanto trattati nel rispetto del Regolamento, ma anche che, ove ci fosse un vario e ampio accesso di più dati sensibili al trattamento, sarà lo stesso titolare e decidere e selezionare quali trattare in base allo scopo da perseguire: ciò garantisce che la scelta ricadrà soltanto sui quei particolari dati necessari allo scopo e non sugli altri ai quali comunque con l’autorizzazione l’interessato vi ha dato accesso.

È possibile avere più titolari del trattamento dati? I co-titolari del trattamento dati.

La risposta a questo quesito è affermativa, quindi è possibile riscontrare in capo a due o più soggetti il potere decisionale e gestionale dei dati sensibili. In questo caso, si parlerà di co-titolari del trattamento dati.

Il GDPR disciplina anche questa opzione nell’articolo 26, che espressamente enuncia “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento.”

In questo caso, i co-titolari determinano come e quali dati trattare e la responsabilità ricadrà egualmente su ognuno di essi e, gli interessati, potranno rivolgersi tanto all’una quanto all’altra parte in virtù dell’accordo di contitolarità tra loro predefinito. Tale accordo, in virtù del principio di Trasparenza del GDPR, deve comunque essere messo a disposizione dell’interessato che ha acconsentito al trattamento.

Posto quanto detto, si capisce che la responsabilità del titolare o dei possibili co-titolari del trattamento dati sono molto ingenti e gravose, di conseguenza ove si riscontrasse una violazione dei dati personali da parte degli stessi, le sanzioni inflitte dal Garante sarebbero particolarmente severe.

Sebbene, infatti, non siano stabilite delle sanzioni pecuniarie o detentive predefinite, queste, secondo il regolamento, andranno calcolate di caso in caso tenendo conto della natura della gravità e della durata della violazioni e dei soggetti che le hanno poste in essere.

Se vuoi conoscere tutte le sanzioni previste dal GDPR clicca qui per articolo “le sanzioni del gdpr”.

Concludiamo l’articolo con una citazione sulla responsabilità di Jean Paul Sartre: ” Non si fa quello che si vuole. Tuttavia si è responsabili di quello che si è”.

Se ti è piaciuto l’articolo condividilo, se hai dubbi sull’argomento o vuoi saperne di più chiedi consulenza

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *