privacy

Gdpr, chi è responsabile di cosa: chiariamo i dubbi diffusi tra le aziende

Nel Gdpr il titolare resta uno e uno solo e tutti i trattamenti fanno sempre capo a lui e alla responsabilità che su di lui grava. Si pone quindi il problema di chiarire con precisione il rapporto che sussiste tra chi opera come titolare e chi come responsabile. Ecco cosa c’è da sapere

18 Apr 2018
Franco Pizzetti

professore emerito in diritto costituzionale, Università di Torino, ex Garante Privacy

gdpr_790941460

Il concetto di accountability è il centro del nuovo Regolamento europeo relativo alla protezione dati personali (GDPR).

Tutta la nuova normativa si basa sulla responsabilità del titolare del trattamento “di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento” (art.24 paragrafo 1).

Inoltre a rafforzare il ruolo centrale del titolare e della sua responsabilità relativamente alle misure tecniche e organizzative adottate lo stesso art. 24, al paragrafo 2, specifica che “dette misure sono riesaminate e aggiornate qualora necessario”.

Da questo principio di responsabilità del titolare discende tutto il sistema delle prescrizioni che riguardano le attività che questo deve svolgere fin dalla fase della progettazione dei trattamenti, che vanno dalla privacy by design alla privacy by default fino alla adozione delle misure adeguate a assicurare la sicurezza dei trattamenti. Tutte decisioni che spetta al titolare prendere sulla base della valutazione di rischio che deve compiere per definire quali siano le misure tecniche e organizzative da adottare in ragione dei rischi che il trattamento (processo) che vuole porre in essere può far correre ai diritti e alle libertà delle persone fisiche.

Alla responsabilità del titolare rispetto ai trattamenti di dati personali che progetta di mettere in essere o che attiva sono dedicati ben 5 considerando.

Responsabilità del titolare dei dati

Essi vanno dal 74 al 79 e riguardano i rapporti con l’eventuale responsabile (processor) al quale il titolare (controller) affida una parte o anche tutto il trattamento che comunque viene svolto sulla base delle sue istruzioni, in suo nome e sotto il suo controllo (art.28 GDPR).

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Per quanto riguarda i rapporti tra titolare e responsabile il considerando che in questa sede ha maggiore interesse è proprio il 79 secondo il quale “la protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento (controller) e dei responsabili del trattamento (processor), anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento”.

L’art. 28 del GDPR, peraltro, precisa che i rapporti tra titolare e responsabile dei trattamenti devono essere regolati da “un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare” (art. 28 paragrafo 3).

Specifica inoltre, sempre il medesimo paragrafo, che il contratto (o l’atto giuridico adottato) deve vincolare il titolare al responsabile e deve specificare “la materia disciplinata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

Seguono ben otto lettere, dalla a) alla h), nelle quali sono specificati precisi obblighi del responsabile nei confronti del titolare. Si tratta di obblighi relativi a tutti i diversi aspetti che riguardano sia il rapporto tra il titolare e il responsabile che le modalità con le quali il responsabile deve trattare i dati per la parte di trattamento a lui affidata dal titolare.

Sono norme molto minuziose che definiscono anche in larga misura quale debba essere il contenuto del contratto o dell’atto giuridico che lega le due figure.

Degli obblighi che il responsabile ha per legge nei confronti del titolare fa parte anche quanto disposto dal paragrafo quattro, che disciplina l’ipotesi in cui il responsabile intenda avvalersi per l’esecuzione di specifiche attività di altro responsabile (sub-responsabile). Caso questo consentito dal paragrafo secondo del GDPR che però subordina la nomina di eventuali sub-responsabili alla autorizzazione scritta del titolare, che deve esser rinnovata nel caso che subentrino modifiche nei rapporti tra responsabile e sub-responsabile.

Il paragrafo quattro specifica anche che nei confronti del titolare risponde sempre e comunque il responsabile da questi individuato e che è legato a lui da contratto o altro atto vincolante. È il responsabile, dunque, che risponde al titolare anche per le inadempienze o le violazioni causate dall’attività dei sub-responsabili.

Chiarire chi è responsabile

Lo scopo essenziale di una normativa così complessa, che in questa sede non è possibile approfondire in dettaglio, è quello di garantire che, come vuole il considerando 79, siano sempre chiari i ruoli e le responsabilità dei diversi soggetti che intervengono in un trattamento o in un complesso di trattamenti.

Si tratta di una esigenza fondamentale, che è facile risolvere facendo riferimento al solo titolare finché questi svolga tutti i trattamenti avvalendosi della propria organizzazione, indipendentemente da come ripartisca poi gli incarichi all’interno di questa.

È chiaro infatti che fino a che tutti i trattamenti sono posti in essere in ogni loro parte dall’organizzazione che fa capo al titolare, e cioè a colui che ne determina le finalità e le modalità di esecuzione, la responsabilità è sempre e solo esclusivamente del titolare, non solo per quanto riguarda la compliance al GDPR ma anche ogni altro aspetto dei trattamenti posti in essere.

A nulla rileva, infatti, che all’interno di un’unica organizzazione le responsabilità, anche rispetto ai trattamenti, siano ripartiti tra diverse strutture interne facenti capo a specifici responsabili direttamente dipendenti dal titolare. Il titolare resta uno e uno solo e tutti i trattamenti fanno sempre capo a lui e alla responsabilità che su di lui grava.

Quale responsabilità se il titolare si avvale di organizzazioni esterne

Il problema si complica invece quando il titolare ritenga utile o necessario far ricorso, per l’esecuzione di una parte o anche di tutto un trattamento, a strutture e organizzazioni esterne alla sua impresa, attraverso contatti di servizio o comunque atti vincolanti finalizzati ad assicurare che il soggetto terzo sia tenuto a fornire prestazioni adeguate ai trattamenti posti in essere dal titolare, seguendo le istruzioni e agendo in suo nome o nel suo interesse e comunque per suo conto.

A prima vista potrebbe sembrare che anche in questo caso non possa nascere un problema di ripartizione di responsabilità nei confronti della conformità dei trattamenti al GDPR giacché sappiamo bene che comunque la responsabilità ex art. 24 spetta sempre e solo al titolare.

Tuttavia la necessità alla quale la complessa normativa richiamata vuole far fronte è quella di imporre che sia sempre chiaro chi, nell’ambito di trattamenti complessi, opera come titolare, ed è dunque il soggetto al quale spetta dimostrare in ogni momento la conformità dei trattamenti posti in essere per sua decisione e sotto il suo controllo, al GDPR, e chi invece opera per incarico di questi, eseguendone le istruzioni e agendo in suo nome.

Vi sono infatti, e sono in costante crescita, casi in cui il rapporto tra il titolare e chi esegue comunque una parte del trattamento può essere di difficile definizione, giacché anche il responsabile, che pure opera in quanto tale per conto e in nome del titolare, può operare con una sua autonomia e, per certe fasi della sua attività, soprattutto con riguardo alla sua organizzazione interna e ai trattamenti connessi, può anche assumere la posizione di titolare.

Così come possono esservi casi in cui non è facile definire se, rispetto a un medesimo trattamento, il potere decisionale e le valutazioni connesse alla misure da adottare a seguito della valutazione di rischio per assicurare la compliance al Regolamento spettino a un unico titolare o siano da questo condivisi con altri che, anch’essi, concorrono a decidere, in tutto o in parte, tali modalità. E’ chiaro che se il potere decisionale relativo alle modalità di svolgimento di un medesimo trattamento è condiviso tra più soggetti, a ciascuno dei quali spetta, per la sua parte, la valutazione di rischio e la decisione sulle conseguenti misure da adottare, costoro devono essere qualificati non responsabili ex art. 28 ma contitolari ex art. 26 del GDPR.

Si tratta di una problematica già sorta sotto la vigenza della Direttiva 95/46, e che è stata ampiamente ed esaustivamente esaminata in una notissima opinion del Working Party29, la n. 1 del 2010.

Rileggendo quella Opinion si può constatare facilmente che larga parte della normativa contenuta nel GDPR non è altro che la traduzione in norme giuridiche dei principi e delle prescrizioni contenute in quel parere. La stessa figura di contitolare, prevista oggi dal GDPR all’art. 26 e che invece non era prevista nella Direttiva, è stata una creazione concettuale definita per la prima volta in modo formale proprio in quella opinion del 2010.

Per completezza merita sottolineare anche che recentemente il Workingparty 29 è tornato sul tema la decisione 13 dicembre 2016, emendata e adottata il 5 aprile 2017, intitolata “Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento”, che tuttavia, per quanto qui interessa, non modifica il contenuto e l’impostazione di fondo della Opinion n.1 del 2010.

Il punto essenziale è dunque che in ogni caso in cui il titolare e gli eventuali contitolari ritengano che, in tutto o in parte, una o più delle attività connesse ai trattamenti che pongono in essere, possono essere svolte da altri soggetti diversi e distinti, operanti sotto il loro controllo ma non alle loro dipendenze, si pone il problema di chiarire con precisione il rapporto che sussiste tra chi opera come titolare e chi come responsabile, e quali siano gli obblighi che ciascuno dei due assume rispetto all’altro, anche con riguardo alle specifiche responsabilità del titolare e degli eventuali contitolari verso gli interessati e le Autorità di controllo.

E’ ovvio come tutto questo sia fondamentale per il funzionamento di tutto il sistema normativo fondato sul GDPR e soprattutto per gli interessati, che devono sapere sempre senza incertezze chi è il titolare dei trattamenti di dati che li riguardano, e per le Autorità di controllo, che devono poter sempre individuare con chiarezza chi svolga il ruolo di titolare, e dunque risponda integralmente dei trattamenti posti in essere, e chi quello di responsabile, e dunque risponda del suo operato direttamente al titolare e solo  indirettamente ed eventualmente, ai fini dell’accertamento dei fatti,  anche all’Autorità di controllo.

GDPR, come devono cambiare i rapporti contrattuali tra titolare e responsabile trattamento dati

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati