Le figure interessate al trattamento

Per effetto del d.lgs. n.101 del 2018 sono state abrogate le disposizioni del “Codice in materia di protezione dei dati personali” che consentivano di delineare le figure interessate al trattamento e alla relativa disciplina.

Dal  Regolamento UE n.679 del 2016 è possibile trarre alcuni riferimenti utili. L’art.4 reca le definizioni generali.

La disciplina in esame tutela il dato personale definito dall’art 4 n.1 come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Una disciplina specifica è prevista per particolari categorie di dati definite dagli artt.9 e 10 e che costituiscono i dati sensibili e i dati giudiziari.

I soggetti destinatari della disciplina  sono:

  1. Il Titolare
  2. Il Responsabile
  3. Il responsabile della protezione dei dati (Data Protection Officer” DPO)
  4. L’interessato

IL TITOLARE

Secondo l’art. 4 n.7 del Regolamento UE n.679  “«titolare del trattamento» è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Anche con riferimento alle persone giuridiche, Titolare è a tutti gli effetti l’ente in quanto tale, e non già la persona fisica che ricopre una carica rappresentativa (amministratore, presidente etc). Il Titolare risponde, sotto ogni punto di vista, di eventuali trattamenti illeciti perpetrati al proprio interno, laddove non abbia adempiuto ai propri obblighi. Egli può decidere di nominare un Responsabile che, per suo conto, si occupi degli adempimenti in materia di privacy.  Il responsabile del trattamento deve fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento

Il Titolare, come si evince dal Regolamento EU n.679 del 2016:

– Deve predisporre l’analisi dei rischi e, in alcuni casi, realizzare una valutazione d’impatto sulla protezione dei dati (PIA), nell’ambito di un più generale Risk Assessment seguita da una possibile “Consultazione preventiva” all’Autorità Garante se le misure di sicurezza adottate non consentano di escludere o limitare i rischi per i diritti e le libertà degli interessati al trattamento;

-Unitamente al Responsabile che abbia, eventualmente, deciso di nominare, il Titolare deve essere in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati personali. In tale prospettiva, è necessario anche verificare (ex post) che le misure adottate siano state efficaci (e, quindi, abbiano funzionato) al fine di prevenire trattamenti illeciti sui dati o eventuali danni in capo agli interessati al trattamento (vi è quindi la necessità di implementare procedure di verifica periodica delle misure adottate di cui si tenga traccia per iscritto);

– In applicazione dei principi della privacy by design, la tutela della privacy deve essere concretamente incorporata nella progettazione e nell’architettura dei sistemi IT. In base al principio di  privacy by default è necessario garantire preventivamente che non siano resi accessibili dati personali a un numero indefinito di persone, implementando, ad esempio, opportune procedure di autorizzazione e autenticazione. E’ necessario stabilire precisi limiti temporali nella conservazione delle varie tipologie e categorie di dati mediante l’adozione di una specifica “Data retention policy”;

– Il Titolare in alcuni casi è obbligato a nominare  il Responsabile della Protezione dei dati personali (ovvero il c.d. “Data Protection Officer”DPO); tale nomina è consigliata anche nei casi in cui il legislatore non la rende obbligatoria;

– Il Titolare deve curare la revisione e l’aggiornamento delle nomine – interne ed esterne – per i “Responsabili del trattamento” e prevedere  delle sub-deleghe a terzi (sub-responsabili) per alcune attività che prevedono un trattamento di dati personali in regime di sub-appalto o sub-fornitura di servizi;

– Il Titolare deve curare la revisione e integrazione di tutti i contratti inserendo clausole privacy “reali” e non più di stile e, in alcuni casi, utilizzando  veri e propri “Privacy Level Agreement”;

– Il Titolare, in caso di società controllate o collegate,  deve gestire i rapporti infra gruppo e creare  regole privacy condivise;

– Il Titolare deve curare i nuovi adempimenti per l’eventuale trasferimento di dati personali verso un Paese terzo;

– Il Titolare deve predisporre una periodica attività obbligatoria di Audit (interna e/o mediante l’ausilio di soggetti esterni), da svolgersi in coordinamento con il Responsabile della Protezione dei dati;

– Il Titolare deve sensibilizzare e predisporre  piani di formazione periodica del personale che partecipa ai trattamenti (dipendenti, collaboratori, etc.), ad opera di funzioni aziendali interne, consulenti esterni o mediante un Responsabile della protezione dei dati.

– Il Titolare deve provvedere alla revisione del Regolamento aziendale interno sul corretto utilizzo degli strumenti elettronici, posta elettronica e internet e al rafforzamento degli obblighi di informativa nei confronti dei dipendenti;

– Il Titolare deve provvedere all’adozione di un Registro delle attività di trattamento (molto simile al vecchio “Documento Programmatico sulla sicurezza”), che è indispensabile per dimostrare la conformità di tutti i trattamenti a quanto previsto nella nuova regolamentazione europea e assicurare un sano ciclo di gestione dei dati personali;

– Il Titolare deve adottare una specifica procedura per regolamentare eventuali episodi di violazione di dati personali (c.d. “data breach”), mediante comunicazioni all’Autorità Garante o agli interessati al trattamento;

– Il Titolare deve predisporre  meccanismi/procedure per assicurare la verifica dell’efficacia delle misure adottate e può aderire a Codici di Condotta e accedere a percorsi di Certificazione per dimostrare la conformità al nuovo Regolamento UE;

IL RESPONSABILE

Secondo l’art. 4 n.8 del Regolamento UE n.679 del 2016    per Responsabile si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
I trattamenti da parte di un Responsabile del trattamento, eventualmente nominato dal Titolare, sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. L’art. 28 del Regolamento UE n.679 del 2016    definisce nel dettaglio il contenuto del contratto o dell’atto giuridico  di nomina del Responsabile.

In base all’art. 2-quaterdecies del  d.lgs. n.101 del 2018   il Titolare o il Responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. In tal caso il Titolare o il Responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali, le persone che operano sotto la loro autorità diretta.

IL RESPONSABILE DELLA PROTEZIONE DEI DATI (Data Protection Officer” DPO)

Secondo l’art.37 del Regolamento UE n.679 del 2016    il Titolare del trattamento e il Responsabile del trattamento designano sistematicamente un Responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).

Il Responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dalla normativa. Egli può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il  Responsabile della protezione dei dati deve:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del Regolamento UE, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Attualmente non esistono titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali costituiscono un valido strumento ai fini della verifica del possesso di un certo livello di conoscenza della disciplina.  La normativa UNI 11697:2017 che definisce i principali profili professionali in ambito privacy,  ha ulteriormente dettagliato  la figura  del DPO e ha stabilito che il  requisito minimo per poter ottenere la certificazione DPO, è costituito dalla frequentazione di un corso di formazione specifica privacy della durata di 80 ore presso enti terzi rispetto ai certificatori. La certificazione basata sulla Norma tecnica UNI 11697, quindi,  non è un titolo necessario per svolgere il ruolo di DPO.

L’INTERESSATO

L’Interessato è una persona fisica identificata o identificabile  cui si riferiscono i dati personali.
Il Capo III del Regolamento UE definisce i diritti dell’interessato che riguardano l’informazione, l’accesso, la rettifica  e la cancellazione dei dati  nonché la limitazione del loro trattamento, la portabilità e l’opposizione al trattamento.

Il d.lgs. n.101 del 2018  in attuazione del Regolamento UE, prevede all’art. 2-terdecies una disciplina specifica per il trattamento dei dati  personali concernenti persone decedute. I relativi diritti possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità  di suo mandatario, o per ragioni familiari meritevoli di protezione. Sono previsti, altresì alcuni limiti al trattamento.