Il Titolare del Trattamento
Il Titolare del trattamento è figura ben nota a tutti coloro che si occupano di protezione dei dati personali, perché è la persona fisica o giuridica cui competono tutte le responsabilità in merito ad un corretto trattamento di dati personali (per una panoramica in merito ai diversi profili qui).
Salvo alcune modifiche, il profilo del titolare del trattamento è simile al titolare, come indicato nel decreto legislativo 196/2003.
Chi è il Titolare del Trattamento?
La figura di Titolare del Trattamento è illustrata nelle definizioni del Reg. UE 679/2016, raggruppate all’articolo 4 del Regolamento. In particolare, al punto 7) il titolare del trattamento viene così descritto:
- La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione e degli Stati membri.
L’EDPB (European Data Protection Board) nel settembre del 2020 ha pubblicato le Linee Guida che hanno fatto chiarezza circa la definizione di titolare e quella di responsabile del trattamento.
Non è tutto oro ciò che luccica
Sono numerosi i casi in cui la figura del Titolare del Trattamento deve essere legata a responsabilità specifiche operative e funzionali, anche indipendentemente dalla posizione nell’organigramma aziendale. Non è sempre detto, infatti, che il presidente di una organizzazione abbia tutte le deleghe e le competenze per definire le modalità di trattamento dei dati personali, acquisiti dall’organizzazione.
LEGGI ANCHE: — Come tutelare i propri dati personali nel 2021: cosa fare per tutelare la propria PRIVACY sul web
Questo significa che il ruolo funzionale spesso deve essere ritenuto prevalente rispetto al ruolo gerarchico.
Una corretta individuazione del titolare presenta una importanza rilevante dal momento che è il soggetto cui compete il dovere di rispettare tutte le disposizioni del regolamento ed è anche il soggetto cui l’interessato può rivolgersi per l’esercizio dei propri diritti.
Gli obblighi del Titolare
Il titolare è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali. Gli obblighi sono:
- trattamento dei dati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- acquisizione del consenso dall’interessato nei casi previsti (in particolare per i minori);
- divieto di trattamento dei dati ex art. 9 tranne nei casi di esenzione;
- informare correttamente e in maniera trasparente gli interessati;
- garantire il rispetto dei diritti degli interessati;
- adottare le misure tecniche e organizzative adeguate a garantire, sin dalla fase della progettazione e per impostazione predefinita (privacy by design e by default), la tutela dei diritti dell’interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
- in caso di contitolarità, concordare col contitolare la ripartizione delle responsabilità;
- in caso di titolare non avente sede in Europa, nominare un rappresentante nell’Unione europea;
- vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
- fornire le istruzioni al responsabile del trattamento;
- tenere il registro di trattamenti;
- fornire le istruzioni e formare il personale;
- documentare le violazioni dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti;
- cooperare con l’autorità di controllo quando richiesto;
- redigere le valutazioni di impatto nei casi previsti;
- nominare il DPO se previsto.
Nel campo delle telecomunicazioni
Quando si parla di un messaggio contenente dati personali che viene trasmesso mediante reti di telecomunicazione di posta elettronica, la cui unica funzione è quella della trasmissione di tale messaggio, il titolare, nei confronti dei dati personali contenuti nel messaggio, viene individuato nel mittente del messaggio, e non nella persona che offre servizi di trasmissione.
Le organizzazioni, tuttavia, che offrono il servizio di trasmissione del messaggio diventano titolari del trattamento nei confronti dei dati (identificazione del mittente, identificazione del destinatario, ubicazione delle parti) afferenti al traffico e alla fatturazione, ma non per i dati che vengono trasmessi.
Un caso complesso: le agenzie di viaggio
Quando si decide di prenotare un viaggio o un soggiorno mai ci si potrebbe immaginare il numero dei titolari coinvolti e il tragitto che i dati personali compiono. Analizziamo il caso in cui un’agenzia di viaggio invii dati personali dei propri clienti ad una compagnia aerea e ad una catena di hotel al fine di effettuare le necessarie prenotazioni. La compagnia aerea e l’hotel confermano la disponibilità dei posti a bordo e delle camere richieste. L’agenzia di viaggio emette i documenti per il cliente. In questo caso l’agenzia di viaggio, la compagnia aerea e l’albergo rappresentano tre diversi titolari del trattamento, ognuno obbligato a rispettare i doveri in merito alla protezione dei dati, sulla base dell’attività di trattamento specifica.