Titolare del trattamento dei dati personali

Titolare del trattamento dei dati personali

Il Titolare del trattamento (data controller) è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il ruolo di Titolare (come anche quello di Responsabile) dipende non da designazioni formali bensì dall'effettiva attività svolta nel trattamento dei dati. 

L'introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor. In realtà il responsabile del trattamento, nel senso che ne risponde giuridicamente, è il titolare. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento

La Corte di Giustizia europea ha precisato che il ruolo di titolare del trattamento va deciso guardando alla situazione concreta, tenendo presente che spesso alcune decisioni possono essere delegate a terzi. Per cui anche l'integrazione di un servizio che comporta eleborazione di dati (es. l'inserimento di plugin Facebook) e la capacità di influenzare tale elaborazione porta alla qualifica di titolare del trattamento (ovviamente solo con riferimento alla parte di eleborazione dei dati realmente decisa). 

L'EDPB nel settembre del 2020 ha pubblicato le Linee Guida sul concetto di titolare e responsabile del trattamento. Secondo l'EDPB un elemento fondamentale è l'influenza del titolare in virtù dell'esercizio di un potere decisionale ("determina"). Si possono distinguere due tipi di controllo: 
- derivante da disposizioni di legge; 
- derivante da una concreta influenza fattuale. 
Con riferimento ai mezzi il Comitato distingue tra mezzi essenziali e non essenziali, laddove i primi sono quelli strettamente legati allo scopo e alla portata del trattamento, e quindi riservati al titolare. I mezzi non essenziali, invece, riguardano gli aspetti più pratici dell'attuazione, come la scelta di un particolare tipo di hardware o software, o specifiche misure di sicurezza, e possono essere definiti anche dal responsabile. In tale quadro è intervenuto il Garante sloveno con una decisione relativa all'inquadramento del cloud provider. Secondo il Garante sloveno poiché il cloud provider determina anche i mezzi essenziali per il trattamento, al punto che il titolare è reso impossibile esercitare il principio di responsabilità, per cui non può che essere ritenuto un titolare congiunto del trattamento. 

Invece un privato che effettua un trattamento di dati a fini esclusivamente personali non rientra nell'ambito applicativo della direttiva europea in materia di protezione dei dati, e quindi non assume la qualifica di Titolare. Ma la Corte di Giustizia europea (CGUE) ha stabilito che comunque la pubblicazione di dati altrui su Internet costituisce trattamento, poiché la pubblicazione online determina l'accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica. 

Con riferimento all’ambito territoriale, il titolare del trattamento è individuato sulla base del criterio di stabilimento e di targeting di cui all’art. 3 GDPR. Se un titolare non è stabilito nell'Unione Europea, invece, ma ricade comunque nella giurisdizione del GDPR, deve designare un rappresentante nell'Unione europea.
  titolare

Obblighi

Il titolare è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell'ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. In estrema sintesi il titolare ha l'obbloigo di stabilire le finalità e le modalità (i mezzi) del trattamento dei dati da lui operati, fissare le misure tecniche e organizzative per tutelare i dati trattati e garantire nel tempo la conformità alle leggi dei suoi trattamenti. 

Nel dettaglio potremmo indicare i suoi obblighi in questo modo:
- trattare i dati in modo lecito, corretto e trasparente nei confronti dell'interessato
- selezionare corretta la base giuridica per il trattamento dei dati dell'Interessato; 
- acquisire il consenso dall'interessato nei casi previsti (in particolare per i minori); 
- non trattare dati ex art. 9 tranne nei casi di esenzione; 
- informare correttamente e in maniera trasparente gli interessati; 
- garantire il rispetto dei diritti degli interessati (in particolare per i processi decisionali automatizzati); 
- adottare le misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione e per impostazione predefinita (privacy by design e by default), la tutela dei diritti dell'interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente; 
- in caso di contitolarità, concordare col contitolare la ripartizione delle responsabilità; 
- in caso di titolare non avente sede in Europa, nominare un rappresentante nell'Unione europea
- vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento; 
- fornire le istruzioni al responsabile del trattamento
- tenere il registro di trattamenti
- fornire le istruzioni e formare il personale
- documentare le violazione dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti; 
- cooperare con l'autorità di controllo quando richiesto; 
- redigere le valutazioni di impatto nei casi previsti; 
- nominare il DPO se previsto. 

  

Titolare nel settore privato e pubblico

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati. 

Nel settore pubblico in genere il titolare del trattamento è l'ente nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile". Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997). 
 

Contitolarità (titolari congiunti)

E' possibile che coesistano più titolari del trattamento (contitolari o joint controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa (art. 26 GDPR) impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.  

Si ha contitolarità, secondo l'EPBD, quando le decisioni sono convergenti su finalità e mezzi, cioè se sono complementari e necessarie per il trattamento, in modo da avere un impatto tangibile sulla determinazione degli scopi e dell'elaborazione. Distinta è l'ipotesi di gestione congiunta, qualora l'utilizzo di un sistema o una infrastruttura sia comune ma non porta a qualificare le parti come contitolari del trattamento, poiché le operazioni di trattamento sono separabili e possono essere eseguite anche da una sola parte senza l'intervento dell'altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità). 

La Corte di Giustizia europea con sentenza del 29 luglio 2019 (caso 40-17 Fashion ID) ha stabilito che il titolare del trattamento è anche chi decide delle finalità e dei mezzi del trattamento solo parzialmente, e che in particolare non è necessario che tutti i titolari abbiano accesso a tutti i dati. Ovviamente in tal caso la ripartizione di responsabilità non è uguale tra i titolari, responsabilità che deve essere valutate in base alle sole parti del trattamento che riguarda i singoli titolari. Inoltre l'eventuale consenso deve essere richiesto dal titolare congiunto solo con riferimento ai trattamenti sotto la sua responsabilità (salvo informare anche dei trattamenti che opererà l'altro titolare congiunto). 

Altro caso importante è quello deciso nel 2022 dall'Autorità Garante per la protezione dei dati personali della Repubblica della Slovenia (provvedimento IP – 0612-23/2019/19) col quale ha stabilito che il fornitore di servizi cloud più correttamente deve essere considerato un titolare congiunto del trattamento. 

La base giuridica del trattamento non si trasmette da un titolare ad un altro, per cui i titolari congiunti devono stabilire e giustificare la propria base giuridica perché il trattamento sia lecito. 

 

Responsabilità e danni

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare (articolo 82 e Considerando 79 GDPR) risponde direttamente per il danno cagionato all'interessato in conseguenza di una violazione del regolamento. Il Considerando 146 precisa, però, che il titolare sarà responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. 

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l'intero ammontare del danno, al fine di garantire l'intero risarcimento. L'interessato potrà, quindi, rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido. Chi paga l'intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota. 

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che: 
- l'evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
- o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso. 

  

L’utente della rete Internet come titolare del trattamento

Un problema poco dibattuto riguarda il ruolo degli utenti di Internet, in particolare dei social network sites (SNS). Gli utenti generalmente immettono e condividono non solo i propri dati personali, ma anche dati riguardanti altre persone, ad esempio volti (fotografie). La normativa in materia di protezione dei dati personali stabilisce che il SNS è un titolare del trattamento (data controller) in quanto stabilisce i mezzi e le finalità del trattamento dei dati immessi sui suoi server, ma l’utente contribuisce a tale trattamento immettendo dati anche di terze parti. L’utente, quindi, da un lato è sicuramente l’interessato (data subject) del trattamento operato dal SNS, ma esso stesso pone in essere un trattamento di dati. La normativa esenta i trattamenti per uso personale e senza finalità commerciali (household exemption), ma in genere l'immissione di dati in Internet non può essere considerata rientrante in tale eccezione, trattandosi di diffusione (cioè comunicazione a un numero indeterminato di persone) e non di comunicazione interna al nucleo familiare o a un numero molto ristretto di persone specifiche (Corte UE, Lindqvist C-101/01 e Satakunnan C-73/07). La valutazione, ovviamente, deve tenere presente non solo la quantità di persone alle quali la comunicazione dei dati è diretta, ma anche l’intenzione. Quindi, la decisione di estendere la comunicazione oltre la cerchia di selezionati amici determina l’impossibilità di applicare l’esenzione personale. Sicuramente la finalità professionale, commerciale e politica, sono incompatibili con l’esenzione personale.

Appare evidente che anche gli utenti del SNS devono rispettare le norme in materia di protezione dati personali, nel momento in cui immettono dati di terzi in Internet (e in tal senso sono scritte le policy della varie piattaforme). Quindi dovranno avere una legittima base giuridica (in genere il consenso, che deve essere informato) per il trattamento dei dati. Inoltre dovranno applicare misure proporzionate per impedire il furto dei dati o l’uso improprio. Ovviamente la proporzione va valutata in base all’importanza dei dati e il rischio conseguente alla perdita degli stessi, per cui in genere è sufficiente una normale attenzione (ad esempio l’uso di password adeguate) nel trattamento dei dati.

In caso contrario l’utente del SNS potrebbe essere soggetto a sanzioni e risarcimento di eventuali danni provocati a terzi tramite il trattamento dei dati. Ovviamente l’utente è responsabile solo per la parte che pone in essere e per la quale decide la finalità del trattamento (ad esempio nel momento in cui decide con quali utenti una specifica informazione può essere condivisa), per la restante parte la responsabilità sarà del SNS che è il soggetto che sfrutta economicamente i dati immessi dagli utenti.

È importante ricordare che la protezione dei dati personali deve essere bilanciata con la libertà di espressione, il diritto di critica e cronaca, il diritto a essere informati e in genere l’attività giornalistica. I trattamenti di dati con queste finalità non soggiacciono a tutte le norme in materia di protezione dei dati personali o comunque sono favoriti da particolari esenzioni