Temi

Shape 5 Live Search

logo

Il Titolare del trattamento (data controller) è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati.

Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento. Il titolare, inoltre, è soggetto al fondamentale principio di responsabilizzazione (accountability). La giurisprudenza della Corte di Giustizia europea ha, però, precisato che il ruolo di titolare del trattamento va deciso guardando alla situazione concreta, tenendo presente che spesso alcune decisioni possono essere delegate a terzi. Per cui anche l'integrazione di un servizio che comporta eleborazione di dati (es. l'inserimento di plugin Facebook) e la capacità di influenzare tale elaborazione porta alla qualifica di titolare del trattamento (ovviamente solo con riferimento alla parte di eleborazione dei dati realmente decisa). 

L'introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor. In realtà il responsabile del trattamento, nel senso che ne risponde giuridicamente, è il titolare. 

Un privato che effettua un trattamento di dati a fini esclusivamente personali non rientra nell'ambito applicativo della direttiva europea in materia di protezione dei dati, e quindi non assume la qualifica di Titolare. Ma la Corte di Giustizia europea (CGUE) ha stabilito che comunque la pubblicazione di dati altrui su Internet costituisce trattamento, poiché la pubblicazione online determina l'accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica. 

L'EDPB nel settembre del 2020 ha pubblicato le Linee Guida sul concetto di titolare e responsabile del trattamento. Secondo l'EDPB un elemento fondamentale è l'influenza del titolare in virtù dell'esercizio di un potere decisionale ("determina"). Si possono distinguere due tipi di controllo: 
- derivante da disposizioni di legge; 
- derivante da una concreta influenza fattuale. 

Con riferimento ai mezzi il Comitato distingue tra mezzi essenziali e non essenziali, laddove i primi sono quelli strettamente legati allo scopo e alla portata del trattamento, e quindi riservati al titolare. I mezzi non essenziali, invece, riguardano gli aspetti più pratici dell'attuazione, come la scelta di un particolare tipo di hardware o software, o specifiche misure di sicurezza, e che possono essere definiti anche dal responsabile. 

 

Obblighi

Il titolare è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell'ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. In particolare gli obblighi sono:
- notifica al Garante nei casi previsti;
- adozione delle misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente; 
- vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento; 
- designazione del responsabile del trattamento a cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali; 
- redazione del registro di trattamenti
- formazione del personale
- documentazione delle violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.  

 

Titolare nel settore privato e pubblico

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel settore pubblico in genere il titolare del trattamento è l'ente nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile". Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997). 
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati. 

 

Contitolarità 

E' possibile che coesistano più titolari del trattamento (contitolari o joint controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa (art. 26 GDPR) impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.  

Si ha contitolarità, secondo l'EPBD, quando le decisioni sono convergenti su finalità e mezzi, cioè se sono complementari e necessarie per il trattamento, in modo da avere un impatto tangibile sulla determinazione degli scopi e dell'elaborazione. Distinta è l'ipotesi di gestione congiunta, qualora l'utilizzo di un sistema o una infrastruttura sia comune ma non porta a qualifiicare le parti come contitolari del trattamento, poiché le operazioni di trattamento sono separabili e possono essere eseguite anche da una sola parte senza l'intervento dell'altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità). 

La Corte di Giustizia europea con sentenza del 29 luglio 2019 (caso 40-17 Fashion ID) ha stabilito che il titolare del trattamento è anche chi decide delle finalità e dei mezzi del trattamento solo parzialmente, e che in particolare non è necessario che tutti i titolari abbiano accesso a tutti i dati. Ovviamente in tal caso la ripartizione di responsabilità non è uguale tra i titolari, responsabilità che deve essere valutate in base alle sole parti del trattamento che riguarda i singoli titolari. Inoltre l'eventuale consenso deve essere richiesto dal titolare congiunto solo con riferimento ai trattamenti sotto la sua responsabilità (salvo informare anche dei trattamenti che opererà l'altro titolare congiunto). 

 

Responsabilità e danni

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare, secondo quanto previsto dall'articolo 82 e dal Considerando 79, risponde direttamente per il danno cagionato all'interessato in conseguenza di una violazione del regolamento. Il Considerando 146 precisa, però, che il titolare sarà responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. 

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l'intero ammontare del danno, al fine di garantire l'intero risarcimento. L'interessato potrà, quindi, rivolgersi ad ognuno di essi singolarmente o chiedere i danni a tutti in solido. Chi paga l'intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota. 

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che: 
- l'evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
- o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso. 

titolare

 

L’utente della rete Internet come titolare del trattamento

Un problema poco dibattuto riguarda il ruolo degli utenti di Internet, in particolare dei social network sites (SNS). Gli utenti generalmente immettono e condividono non solo i propri dati personali, ma anche dati riguardanti altre persone, ad esempio volti (fotografie). La normativa in materia di protezione dei dati personali stabilisce che il SNS è un titolare del trattamento (data controller) in quanto stabilisce i mezzi e le finalità del trattamento dei dati immessi sui suoi server, ma l’utente contribuisce a tale trattamento immettendo dati anche di terze parti. L’utente, quindi, da un lato è sicuramente l’interessato (data subject) del trattamento operato dal SNS, ma esso stesso pone in essere un trattamento di dati. La normativa esenta i trattamenti per uso personale e senza finalità commerciali (household exemption), ma in genere l'immissione di dati in Internet non può essere considerata rientrante in tale eccezione, trattandosi di diffusione (cioè comunicazione a un numero indeterminato di persone) e non di comunicazione interna al nucleo familiare o a un numero molto ristretto di persone specifiche (Corte UE, Lindqvist C-101/01 e Satakunnan C-73/07). La valutazione, ovviamente, deve tenere presente non solo la quantità di persone alle quali la comunicazione dei dati è diretta, ma anche l’intenzione. Quindi, la decisione di estendere la comunicazione oltre la cerchia di selezionati amici determina l’impossibilità di applicare l’esenzione personale. Sicuramente la finalità professionale, commerciale e politica, sono incompatibili con l’esenzione personale.

Appare evidente che anche gli utenti del SNS devono rispettare le norme in materia di protezione dati personali, nel momento in cui immettono dati di terzi in Internet (e in tal senso sono scritte le policy della varie piattaforme). Quindi dovranno avere una legittima base giuridica (in genere il consenso, che deve essere informato) per il trattamento dei dati. Inoltre dovranno applicare misure proporzionate per impedire il furto dei dati o l’uso improprio. Ovviamente la proporzione va valutata in base all’importanza dei dati e il rischio conseguente alla perdita degli stessi, per cui in genere è sufficiente una normale attenzione (ad esempio l’uso di password adeguate) nel trattamento dei dati.

In caso contrario l’utente del SNS potrebbe essere soggetto a sanzioni e risarcimento di eventuali danni provocati a terzi tramite il trattamento dei dati. Ovviamente l’utente è responsabile solo per la parte che pone in essere e per la quale decide la finalità del trattamento (ad esempio nel momento in cui decide con quali utenti una specifica informazione può essere condivisa), per la restante parte la responsabilità sarà del SNS che è il soggetto che sfrutta economicamente i dati immessi dagli utenti.

È importante ricordare che la protezione dei dati personali deve essere bilanciata con la libertà di espressione, il diritto di critica e cronaca, il diritto a essere informati e in genere l’attività giornalistica. I trattamenti di dati con queste finalità non soggiacciono a tutte le norme in materia di protezione dei dati personali o comunque sono favoriti da particolari esenzioni.