Il Titolare del trattamento dei dati o data controller, secondo quanto specificato dall’art. 4. par. 1, n. 7 GDPR, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Dovendolo spiegare con altre parole, il Titolare del trattamento dei dati è il soggetto che tratta i dati autonomamente, senza ricevere indicazioni da altri e scegliendo autonomamente come e perchè debbano essere trattati i dati.
Il Titolare può non gestire i dati, ma decidere come questi debbano essere gestiti. Il Titolare del trattamento dei dati inoltre non va confuso con il responsabile del trattamento che, in inglese, è definito data processor.
Di solito, una persona fisica che tratta dati a scopo esclusivamente personale, non rientra nella normativa europea sul trattamento dei dati, mentre una persona fisica che pubblica dati altrui su Internet diventa titolare del trattamento dei dati, perchè questi vengono resi pubblici a un numero esteso di persone.
Titolare del trattamento dei dati e responsabile del trattamento dei dati: quale differenza?
- TITOLARE DEL TRATTAMENTO DEI DATI. Il titolare del trattamento dei dati è quindi il soggetto che decide il come e il perchè debbano essere trattati i dati, senza ricevere istruzioni da altri. Il titolare può essere rappresentato anche da più soggetti, dando vita a una situazione di contitolarità, nella quale deve essere presente un accordo tra i vari titolari per quanto riguarda il trattamento dei dati che, di conseguenza, dovrà essere unico. Contitolarità significa infatti che più soggetti giungono a una stessa conclusione e non che più soggetti decidono in maniera diversa per quanto riguarda il trattamento dei dati.
- RESPONSABILE DEL TRATTAMENTO DEI DATI. Il responsabile del trattamento dei dati, al contrario del titolare, riceve istruzioni su come utilizzare i dati e le riceve proprio dal titolare o dai titolari. Il responsabile del trattamento è quindi colui che esegue le direttive del titolare, è colui che agisce. Con un esempio pratico si può capire facimente chi è il responsabile del trattamento dei dati. Prendendo in considerazione un’azienda con alcuni dipendenti. L’azienda è titolare dei dati personali dei suoi dipendenti e può scegliere di cederli a un’azienda esterna che si occupa di gestione delle buste paghe. L’azienda terza addetta all’elaborazione delle buste paga diventa quindi gestore dei dati e li utilizza solo per gli scopi definiti dal titolare e nei modi da esso stabiliti.
C’è inoltre la figura dell’addetto al trattamento dei dati, una persona fisica che ha il compito di gestire quotidianamente i dati.
Obblighi del titolare del trattamento dei dati
Il titolare del trattamento dei dati è responsabile giuridicamente per tutti gli obblighi previsti dalla normativa vigente, nazionale e internazionale, per quanto riguarda la materia di protezione dei dati personali. A tal proposito va sottolineata l’importanza del principio di responsabilizzazione del titolare del trattamento, in inglese accountability.
Gli obblighi previsti dalla normativa sono i seguenti:
- notificare al Garante nei casi stabiliti dalla legge;
- adottare delle misure tecniche e organizzative finalizzate alla garanzia, fin dalla progettazione, della tutela dei diritti dell’interessato, in inglese privacy by design e adottare misure atte a garantire che i dati non vadano persi, alterati, distrutti o in ogni caso trattati in maniera illecita;
- riservatezza dei dati, che sta a significare il dovere di non usare, comunicare o diffondere i dati di terzi al di fuori di quanto previsto dal trattamento
- proclamare il responsabile del trattamento a cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali;
- redigere un registro dei trattamenti;
- formare personale competente;
- documentare le eventuali violazioni dei dati personali, incluse le circostanze a esse relative, quindi le conseguenze e le operazioni messe in atto per porre rimedio a tali violazioni.
Cotitolarità: cos’è?
Come già accennato, è possibile la coesistenza di più titolari del trattamento, in inglese jointes controllers, i quali decidono di comune accordo come e perchè trattare i dati, avendo quindi una finalità comune.
Anche in questo caso è presente una normativa che impone ai contitolari degli obblighi, nello specifico l’art. 26 GDPR obbliga i contitolari a scegliere in maniera univoca con un atto giuridicamente valido il proprio ambito di responsabilità e i propri compiti all’interno del trattamento.
Qualora si presentassero soggetti interessati ai metodi di trattamento dei dati possono rivolgersi a uno qualsiasi dei titolari, anche se questi hanno compiti differenti.
In questo modo è facile comprendere la sentenza del 29 luglio 2019 della Corte di Giustizia europea sul caso 40-17 Fashion ID che ha chiarito che il titolare del trattamento dei dati è anche colui che decide come e perchè trattare i dati solo parzialmente, di conseguenza, non è necessario che tutti i titolari abbiano accesso a tutti i dati. Un singolo titolare può avere accesso solo ai dati di propria competenza.
Responsabilità dei danni
A regolare la responsabilità dei danni cagionati da un non corretto trattamento dei dati è l’art. 82 DPCR e il Considerando 79. Queste due fonti stabiliscono che la responsabilità dei danni ricada sul titolare che risponde in maniera diretta all’interessato per il danno prodotto
Se la responsabilità del danno ricade su più titolari o responsabili questi sono responsabili in solido del danno causato. Quindi potrà essere un solo titolare a pagare l’intero ammontare del danno così da garantire il risarcimento e richiedere poi agli altri titolari la restituzione di quanto pagato in più, secondo quanto previsto dal diritto di regresso. L’interessato potrà infatti rivolgersi singolarmente ai titolari o a uno soltanto in soldio.
Casi di non responsabilità
Gli unici casi in cui la responsabilità non è imputabile al titolare del trattamento o al responsabile del trattamento, sono quelli in cui è possibile dimostrare che:
- l’evento che ha prodotto il danno non è imputabile in nessuno modo alla condotta del titolare o del responsabile del trattamento ma è dipeso da cause esterne alla loro sfera di controllo;
- tutte le misure idonne a prevenire il danno sono state adottate preventivamente ma si sono dimosrate incapaci di evitare comunque il danno.
Titolare del trattamento dei dati e internet
Con la diffuzione dei social network si sono venuti a creare nuovi titolari del trattamento dei dati. Il social network stesso è titolare dei trattamento, ma non ‘unico. Anche l’utente iscritto, che pubblica informazioni personali di terzi, diviene titolare del trattamento dei dati, in quanto pubblicandoli li diffonde a un numero indefinito di soggetti quali possono essere gli altri utenti del social. Possono essere intese come dati personali anche delle semplici fotografie che, se pubblicate senza il consenso informato del soggetto fotografato, possono essere motivo di sanzione e di richiesta di risarcimento da parte di terzi per chi le pubblica.
In fine va ricordato che la protezione dei dati deve tenere in considerazione anche la libertà di espressione, il diritto alla critica e di cronaca, il diritto di essere informati e in generale tutta l’attività giornalistica. I trattamenti dei dati che hanno queste finalità sono oggetto di norme specifiche e godono di particolari esenzioni.
