Chi è il titolare del trattamento, quali sono i suoi compiti e quando è responsabile alla luce della normativa europea, vigente anche in Italia.
Il concetto di titolare del trattamento
Come sancito dall’art. 4 del GDPR, il regolamento europeo per la protezione dei dati personali, il titolare del trattamento è “la persona fisica o giuridica, autorità pubblica o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi di trattamento”. Si tratta dunque di quel soggetto che ha l’obbligo giuridico di stabilire per cosa e come trattare i dati personali raccolti.
I compiti del titolare
Le attività che il titolare pone in essere devono ispirarsi ad alcuni principi sanciti all’art. 5 del GDPR. Innanzitutto, il trattamento deve essere condotto in modo lecito, corretto e trasparente nei confronti dell’interessato.
Secondo l’orientamento giurisprudenziale maggioritario e secondo il Garante per la protezione dei dati personali, questa previsione trova compimento nell’art.13 del GDPR, il quale sancisce in capo al titolare l’obbligo di informativa, l’obbligo cioè di fornire, prima del trattamento, le informazioni necessarie affinché l’interessato sia consapevole dell’uso che verrà fatto dei suoi dati. All’interno dell’informativa devono quindi essere indicate anche le finalità del trattamento, esplicitate in modo chiaro e da realizzarsi utilizzando solo i dati pertinenti, adeguati e necessari al raggiungimento delle stesse (principi di limitazione della finalità e di minimizzazione dei dati). Il titolare deve poi rendere edotto l’interessato circa i diritti che può esercitare a norma dell’art. 12 e individuare il periodo di conservazione delle informazioni raccolte che, una volta raggiunto, occorrerà rendere anonime o eliminare.
Il principio di responsabilizzazione (accountability)
Durante la propria attività, il titolare è tenuto al rispetto del fondamentale principio di accountability (art. 7 GDPR); deve, cioè, adottare le misure appropriate ed efficaci per attuare le regole imposte dal GDPR, nonché dimostrare che le precauzioni scelte sono quelle più adeguate alla tutela dei dati dell’interessato.
Ulteriori specificazioni del principio di accountability vengono fornite dall’art. 24 GDPR, che ne evidenzia il carattere dinamico, imponendo al titolare l’obbligo di riesaminare l’idoneità degli strumenti scelti nel corso del trattamento. Inoltre, l’art 25 GDPR distingue i concetti di Privacy by Design, alla luce del quale il titolare è tenuto a valutare i potenziali rischi per i dati prima di iniziare il trattamento, e di Privacy by Default, per cui saranno trattabili “per impostazione predefinita” solo i dati personali necessari per ogni specifica finalità e che questi non siano resi accessibili ad un numero indefinito di persone, se non con l’intervento dell’addetto persona fisica, ma restino sotto il controllo del titolare
Gli strumenti del titolare
L’art. 32 prevede l’onere in capo al titolare di mettere in atto tutte le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Egli dovrà, quindi: procedere alla pseudonimizzazione o cifratura dei dati; apportare i mezzi capaci di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di trattamento ed eventualmente ripristinare tempestivamente la possibilità di accesso ai dati in caso di incidenti; disporre una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure di trattamento (i c.d. stress test).
Gli artt. 35 e 36 GDPR rappresentano un supporto tecnico per il titolare. L’art. 35 GDPR stabilisce che, prima di procedere al trattamento, il titolare, con l’aiuto del DPO (Data Protection Officer), effettui una “valutazione di impatto” al fine di analizzare le possibili conseguenze lesive del trattamento e valutare se vi siano accortezze da adottare per escludere o limitare il rischio. Il secondo, invece, prevede la possibilità in capo al titolare di richiedere una consultazione preventiva all’autorità di controllo volta ad ottenere suggerimenti per mitigare le situazioni di rischio.
La responsabilità del titolare
Lo strumento maggiormente utilizzato per valutare la condotta del titolare è quello previsto dall’art. 30 GDPR: il registro delle attività di trattamento. Si tratta di una mappatura delle operazioni svolte che consente al titolare di avere una fotografia di tutte le attività poste in essere e che, in caso di Data Breach (violazione di dati), permette di valutare l’adempimento del principio di accountability. Qualora vi sia una violazione di dati, il titolare, a norma dell’art 33 GDPR, la notificherà all’autorità di controllo entro 72h dal momento in cui ne è venuto a conoscenza e, se si presenta un rischio per i diritti e le libertà dei soggetti a cui i dati si riferiscono, comunicherà agli interessati l’avvenuta violazione, ai sensi dell’art. 34 GDPR.