La normativa

Autonomi titolari o responsabili del trattamento dei dati: i chiarimenti del Garante sui ruoli

I ruoli da assegnare nel complesso procedimento di adeguamento al GDPR ha richiesto l’intervento del Garante della privacy che ha fatto luce sulla considerazione da attribuire agli autonomi, su cui aleggia il dubbio della titolarità o responsabilità del trattamento. Con il rischio di sanzioni per chi sbaglia

05 Mar 2019
Nicola Manzi

Consulente Direzionale, Compliance, DPO

gdpr

Il ruolo dei soggetti terzi nel trattamento dei dati va definito secondo le disposizioni del GDPR e per aiutare le aziende, è intervenuto anche il Garante della privacy che ha fatto chiarezza sulla complessa normativa. Devono essere definiti titolari o responsabili del trattamento?

Al riguardo, assume una posizione rilevante anche il concetto di responsabilizzazione, onere di cui il Titolare del trattamento dei dati deve farsi carico per evitare sanzioni. La procedura è complessa e richiede per essere attuata al meglio, tra le altre cose, anche la costituzione di un vero sistema con il coinvolgimento di più soggetti. Il rischio altrimenti è quello di incappare in maxi multe, che non risparmiano nemmeno i Big.

Le sanzioni al colosso H3G

La notizia della sanzione di 600.000 euro a un colosso delle telecomunicazioni per le attività di telemarketing indesiderato, circolava nella rete e negli ambienti degli operatori della privacy già da tempo. Il provvedimento n. 493 del 29 novembre 2018, inquadrato (erroneamente) come primo intervento del Garante alla luce del nuovo Regolamento richiama, invero, violazioni intervenute prima dell’entrata in vigore del GDPR ma porta con sé spunti di riflessione importanti soprattutto alla luce del nuovo complesso normativo. Il trattamento illecito contestato ad H3G, infatti, secondo l’Autorità è derivato principalmente da due violazioni:

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
  • la mancata verifica della liceità del trattamento nei confronti degli interessati (espressione del consenso);
  • la sistematica e prolungata comunicazione illecita di dati della clientela a terzi.

Senza entrare nel merito del provvedimento (soprattutto per quanto riguarda gli aspetti rilevanti connessi alla violazione del punto uno), vorrei concentrarmi, sul punto numero due e su alcune caratteristiche che trovo particolarmente interessanti anche alla luce delle implicazioni pratiche che portano con sé. La configurazione dell’illecita comunicazione di cui al punto due, infatti, attiene a un profilo, per così dire, organizzativo.

La natura dell’illecito

Leggiamo dalle motivazioni dell’autorità, l’illecito al punto due è conseguenza dell’aver considerato come titolari autonomi dei soggetti terzi (i partner commerciali dell’azienda) nonostante difettassero delle caratteristiche peculiari che la legge detta in relazione alla figura del Titolare:

  • non decidevano (né potevano modificare) le finalità del trattamento dei dati personali dei clienti;
  • provvedevano a gestire nell’interesse della Società (e secondo le direttive loro impartite) la commercializzazione su tutto il territorio nazionale dei servizi;
  • ricevevano istruzioni dettagliate e vincolanti da parte dell’Azienda.

Designare correttamente questi soggetti terzi, quindi, come Responsabili del trattamento e informare gli interessati avrebbe, di fatto, giustificato l’accesso dei partner commerciali di H3G alle informazioni personali dei clienti e scongiurato parte della sanzione. Il provvedimento del garante con la sua attenzione ai ruoli, alle responsabilità e alla responsabilizzazione, diventa oggi ancora più cogente con l’avvento del nuovo Regolamento.

I dubbi interpretativi ad alcune disposizioni, ad esempio quelle relative all’art 28, solo di recente hanno trovato riscontro del Garante e fornito una chiave di lettura soddisfacente. La pubblicazione della risposta in merito a “un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016″ chiarisce finalmente il dilemma Titolare/responsabile connesso ai rapporti tra aziende e professionisti (nella fattispecie i consulenti del lavoro) stabilendo che“i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche e viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori”.

La responsabilizzazione da parte del Titolare

L’onere del Titolare di costruire e comprovare nelle scelte (cosiddetta responsabilizzazione) un sistema tecnico ed organizzativo adeguato in relazione al rischio dei trattamenti passa, quindi, necessariamente e con più vigore oggi dalla regolamentazione (scritta) e dal controllo dei rapporti tra gli attori della protezione dei dati. Costruire la conformità è, sì un processo di tipo “Top down”, che parte, cioè, dal management e, attraverso una significativa espressione di leadership, si propaga fino alla periferia; Ciononostante, per diventare efficace ha bisogno del coinvolgimento consapevole di tutti i soggetti che intervengono nel ciclo di gestione dei dati personali. Soggetti sui quali il Titolare del trattamento se vuole evitare le rilevanti sanzioni previste è sempre chiamato a rispondere e per i quali ha il dovere e l’onere di esercitare molteplici forme di controllo:

  • preventive alla redazione dell’atto o contratto previsto dalla norma (ad esempio verificare che il fornitore che intende designare quale responsabile abbia un’organizzazione tale da poter assicurare un sistema adeguato di protezione dei dati)
  • successive alla redazione dell’atto o contratto previsto dalla norma (ad esempio la pianificazione delle attività cicliche di audit presso i fornitori).

Soltanto così potrà dimostrare di non aver avuto responsabilità in un’eventuale violazione.

I quattro step per comprovare la responsabilizzazione

Si raccomanda, pertanto, per assicurare la compliance della propria organizzazione, non soltanto la redazione documentale di informative, registri, policy per i designati interni e istruzioni per i responsabili. Comprovare la responsabilizzazione, infatti, è una procedura complessa che prevede quattro momenti:

  • il coinvolgimento di una pluralità di soggetti;
  • la comprensione di tutti i processi (interni ed esterni) relativi ai dati, alla loro protezione e alla loro circolazione;
  • la costruzione di un sistema che preveda tra le altre cose: ruoli e responsabilità definite nei diversi soggetti ma nel quale il Titolare del trattamento (nel testo originale del GDPR Data Controller) abbia il controllo completo di ogni flusso (anche quando per ragioni tecniche ed organizzative i dati escono dalla sua struttura); l’adozione di idonei presidi di sicurezza; la trasparenza delle informazioni (rendere cioè manifeste le modalità del trattamento dei dati personali anche verso l’esterno dell’organizzazione.
  • controlli e verifiche cicliche sul funzionamento dell’intero complesso.

Un solo responsabile viene individuato: il Titolare del trattamento.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati