Il Titolare del trattamento

di SL Soluzioni S.r.l.s.

Il Titolare del trattamento (data controller) è colui che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali” (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d). O anche, è “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (Codice in materia di protezione dei dati personali, art. 4). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.

L’introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor.

Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti. Tra questi obblighi è importante ricordare che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato (privacy by design).
E’ pacifico che il titolare è sempre vincolato al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento. Quindi egli deve garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente. In tale prospettiva spetta a lui stabilire le misure adeguate di sicurezza.

Il titolare nomina con contratto o atto giuridicamente valido, il responsabile del trattamento, insieme al quale pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio. Il responsabile deve garantire una conoscenza specialistica della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabilitl dal regolamento europeo, oltre una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali). Il titolare del trattamento potrebbe, quindi, essere chiamato a rispondere per culpa in eligendo, nel caso in cui la sua scelta del responsabile ricada su un soggetto non idoneo.

Inoltre, il titolare del trattamento, e il responsabile, sono tenuti alla redazione del registro di trattamenti.

Un privato che effettua un trattamento di dati a fini esclusivamente personali non rientra nell’ambito applicativo della direttiva europea in materia di protezione dei dati, e quindi non assume la qualifica di Titolare. Ma la Corte di Giustizia europea (CGUE) ha stabilito che comunque la pubblicazione di dati altrui su Internet costituisce trattamento, poiché la pubblicazione online determina l’accessibilità da parte di un numero enorme di individui, e quindi si può parlare di diffusione sistematica.

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica. Nel settore pubblico in genere il titolare del trattamento è l’autorità, cioè una persona giuridica.
Qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il titolare è l’ente nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di “responsabile”. Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997).
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.

Contitolarità 

E’ possibile che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti. In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

Responsabilità 

Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare risponde per il danno cagionato all’interessato, secondo quanto previsto dall’articolo 82 e dal Considerando 146. Il titolare risponde in caso di violazione delle disposizioni del GDPR, ma anche delle norme attuative, degli atti delegati, delle norme esecutive e di tutte le altre disposizione degli Stati membri.

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero danno, al fine di garantire l’intero risarcimento. Ovviamente chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che l’evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.