06 Luglio 2018

La figura del titolare del trattamento dati nel nuovo Regolamento UE sulla privacy

GIOVANNI DI CORRADO

Immagine dell'articolo: <span>La figura del titolare del trattamento dati nel nuovo Regolamento UE sulla privacy</span>

Abstract

Dallo scorso 25 Maggio 2018 è diventato pienamente efficace in Italia, il Regolamento Europeo sulla privacy, n. 679/2016 al fine di garantire una maggiore protezione dei dati personali delle persone fisiche.

***

I soggetti e l’ambito di applicazione del nuovo Regolamento Europeo sulla privacy

Il titolare del trattamento dei dati è colui che, in quanto persona fisica o giuridica, autorità pubblica o altro organismo, singolarmente o insieme ad altri, determina quelle che sono le finalità ed i mezzi del trattamento dei dati personali.

Il nuovo Regolamento Europeo sulla privacy, n. 679/2016, trova applicazione, da parte del titolare del trattamento, nell’ambito delle attività del proprio stabilimento o ubicazione.

Ci può essere anche la contitolarità del trattamento quando due o più titolari determinano congiuntamente le finalità ed i mezzi del trattamento. In quest’ultima ipotesi però, i contitolari devono definire, mediante un atto giuridicamente valido ai sensi del diritto nazionale, il rispettivo ambito di responsabilità e i compiti con riguardo all’esercizio dei diritti degli interessati che possono rivolgersi indifferentemente ad uno dei titolari.

E’ fondamentale che il titolare effettui in principio, una valutazione di quella che è la situazione attuale sulla privacy all’interno del contesto di riferimento in cui opera, al fine di poter scegliere i comportamenti proattivi da adottare, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento in virtù del principio della responsabilizzazione del titolare (cd “accountability”), in base al quale il titolare sceglie appunto in autonomia le modalità del trattamento dei dati personali, nel rispetto dei criteri indicati nel Regolamento.

 Il primo criterio fa riferimento al cd “data protection by default and by design” ossia alla necessità di configurare il trattamento prevedendo sin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, facendo sì che ciò avvenga prima di procedere col trattamento dei dati vero e proprio. Il secondo criterio riguarda il rischio inerente al trattamento da intendersi come rischio di impatti negativi sulle libertà ed i diritti degli interessati, i quali devono essere utilizzati mediante un apposito processo di valutazione.

Il titolare, inoltre, ha il dovere di far bilanciare il suo legittimo interesse al trattamento dei dati con i diritti e le libertà del soggetto interessato.

Tra i doveri del titolare, vi è quello di rispondere all’interessato che faccia eventuali richieste in merito ai diritti che gli competono, procedendo con l’adozione di misure tecniche ed organizzative che risultino idonee nell’agevolare il soggetto interessato nell’esercizio dei diritti che gli spettano.

Qualora si tratti di enti pubblici, di titolari che svolgono trattamenti su larga scala relativi al monitoraggio sistematico di persone, o di titolari che svolgono trattamenti di particolari categorie di dati, il titolare può procedere alla nomina di un responsabile della protezione dei dati.

Per far fronte al “rischio del trattamento”, egli può predisporre misure di sicurezza anche aderendo a specifici codici di condotta o a schemi di certificazione.

Nel caso in cui venga previsto un utilizzo di nuove tecnologie, è opportuno procedere con una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

L’informativa, il consenso ed il registro del trattamento dei dati

Prima che proceda con la raccolta dei dati, è necessario che il titolare dia ai soggetti interessati, l’informativa, che va redatta in un linguaggio semplice e chiaro, affinché il suo contenuto sia trasparente ed inequivocabile.

Egli deve poi raccogliere il consenso da parte dell’interessato, che deve essere libero, specifico e manifestato mediante dichiarazione o azione positiva inequivocabile.

Per le imprese con più di 250 dipendenti, è necessario tenere il registro del trattamento dei dati. Ad ogni modo comunque, ne hanno l’obbligo anche le imprese ed organizzazioni sotto i 250 dipendenti se il trattamento da esse effettuato possa comportare dei rischi per i diritti e le libertà dell’interessato; se il trattamento non sia occasionale o includa il trattamento di particolari categorie di dati oppure ancora includa dati personali relativi a condanne penali e a reati.

Sistema sanzionatorio

L’ Autorità di controllo per l’Italia è il Garante per la protezione dei dati personali.

Con riferimento al sistema sanzionatorio amministrativo, le sanzioni sono divise in due gruppi:

  • Il primo gruppo, arriva fino a dieci milioni di euro o al 2% del fatturato dell’impresa e con ciò si fa riferimento alle violazioni che riguardano gli obblighi del titolare, del responsabile, dell’organismo di certificazione e dell’organismo di controllo;
  • il secondo gruppo arriva fino a 20 milioni di euro o al 4% del fatturato dell’impresa e con ciò si fa riferimento a violazioni che riguardano i diritti degli interessati e le condizioni del trattamento.

Può accadere che, alla prima violazione il titolare riceva soltanto un ammonimento da parte del Garante, senza che si veda applicare la sanzione pecuniaria.

Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento e il titolare del trattamento risponde per il danno cagionato dal suo trattamento.

L’onere della prova è a carico del presunto autore della violazione, ma ad ogni modo il titolare del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

La responsabilità civile di titolare e responsabile del trattamento è solidale, salvo rivalsa nei limiti della quota di responsabilità: rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

Altri Talks