Chi è il Titolare del Trattamento e quando nominare un Responsabile. Elenco dei casi

Talvolta non è facile identificare Il Titolare del Trattamento ed il Responsabile del Trattamento. Quali sono i criteri per identificarli. L’elenco di tutti i principali casi secondo gli esempi forniti dal Garante e dalle Autorità.

Il Titolare del Trattamento.

Tutto ebbe inizio con legge 675/96. All’articolo 1 lettera d) definiva il “titolare”: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza”.

Poi venne il decreto legislativo 196/03, in vigore dal 2004, che sostituì la vecchia legge. All’articolo 4, il Codice definiva il titolare del trattamento “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.

Infine, arrivò il Titolare del trattamento (data controller), che oggi conosciamo come: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).

È la società o l’amministratore delegato?

È l’organizzazione in quanto tale, e non un individuo all’interno dell’organizzazione, che funge da Titolare del Trattamento. È frequente infatti l’attribuzione in Consiglio di Amministrazione dei poteri del Titolare ad una Persona Fisica.

Il data controller è un organo che decide alcuni elementi chiave del trattamento. Il controllo può essere

definito dalla legge o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso.

Alcune attività di trattamento possono essere viste come naturalmente collegate al ruolo di un’entità (un datore di lavoro a dipendenti, un editore agli abbonati o un’associazione ai suoi membri). In molti casi, i termini di un contratto possono aiutare a identificare il Titolare del trattamento, sebbene non siano determinanti in tutte le circostanze.

Come si identifica il Titolare del Trattamento?

La qualifica di “titolare del trattamento”, alla luce di una (datata) Opinion del WP29 (Opinion 1/2010) sarebbe desumibile da tre circostanze:

  • in forza di una legge o disposizione di fonte secondaria;
  • sulla base di elementi fattuali e circostanze concrete (c.d. “influenza effettiva”);
  • in forza di un contratto o atto analogo tra le parti, o in forza di una prassi giuridica consolidata in diversi settori.

Serve tuttavia chiarire che questa terza ipotesi non deve e non può essere oggi del tutto valida. Si rischierebbe di lasciare al contraente più forte la possibilità di imporre le proprie scelte.

Possiamo in un certo senso considerarla superata anche dall’ultimo documento dell’EDPB (Guidelines 7/2020) che incentra l’attenzione solo sulle prime due ipotesi stabilendo che “Il titolare è un organo che decide alcuni elementi chiave del trattamento. Il controllo può essere definito dalla legge o può derivare da una analisi di circostanze e altri elementi del caso”

Sono prevalentemente le circostanze fattuali che devono determinare le scelte. La chiave di volta è la “determinazione” delle finalità.

Cosa fa il Titolare del Trattamento?

Non è necessario che il Titolare abbia effettivamente accesso ai dati personali che sono trattati.

Il Titolare deve però determinare le finalità e i mezzi del trattamento, ovvero il perché e il come del trattamento.

In realtà per quanto concerne i mezzi, in alcuni casi, possono essere lasciati al Responsabile del Trattamento. Sono cioè identificati come aspetti pratici dell’implementazione, ovvero “mezzi non essenziali”.

In sintesi:

Lo scopo del Trattamento lo decide il Titolare del Trattamento, le modalità non sempre.

Per esempio l’EDPB distingue fra

  • modalità “essenziali” (le decide il Titolare)

Sono strettamente legate all’obiettivo e alle finalità del trattamento

(Quali dati? Per quanto tempo? Di chi sono i dati? Chi ha accesso ai dati?)

  • modalità “non essenziali” (le può decidere anche il Responsabile)

Sono gli aspetti pratici di implementazione

(Quale tipo di hardware o software?)

Elenco dei casi

Con l’obbiettivo di semplificare la corretta individuazione dei ruoli viene proposta di seguito una schematizzazione in funzione dei trattamenti che prende le mosse, per alcuni casi, da alcuni esempi o provvedimenti dalle autorità stesse.

Serve comunque precisare che la corretta individuazione dei ruoli può essere fatta solo caso per caso, prendendo in considerazione tutti gli elementi del trattamento, pertanto in talune circostanze alcuni degli esempi di seguito riportati potrebbero non corrispondere all’effettivo trattamento in essere.

  • Società di Telecomunicazioni per Connettività e Telefonia – Titolare Autonomo (Opinion 1/2010)
  • Avvocato per difesa in giudizio – Titolare autonomo (Guidelines 7/2020 EDPB)
  • Studio Associato di Avvocati per attività di consulenza (es. Compliance, Privacy, 231) – Responsabile
  • Notaio – Titolare Autonomo
  • Agenzia di Somministrazione (ex agenzia interinale) – Titolare Autonomo
  • Società di Selezione del Personale – Responsabile
  • Società di Formazione del Personale – Responsabile
  • Appalto di personale – Responsabile
  • Membri dell’ODV – Autorizzati al trattamento (Parere del Garante Privacy sulla qualificazione soggettiva dei membri ODV – Maggio 2020)
  • Banca – Titolare autonomo (Guidelines 7/2020 EDPB)
  • Revisore legale – Titolare autonomo
  • Medico competente in materia di salute e sicurezza sul lavoro – Titolare autonomo (Relazione del 2019 del Garante Privacy – pag. 147)
  • Società che offre servizi assicurativi a soggetti pubblici (Parere del Garante Privacy del 2019)
  • Società di Elaborazione buste paghe – Responsabile (Guidelines 7/2020 EDPB ed esempio presente sul sito Commissione Europea)
  • Servizio di Hosting – Responsabile (Guidelines 7/2020 EDPB)
  • Società che effettua ricerche di mercato per conto di un cliente pur in assenza di un trattamento di dati personali da parte del cliente – Responsabile (Guidelines 7/2020 EDPB)
  • Un’agenzia di viaggi che invia i dati personali dei clienti alla compagnia aerea e a una catena di hotel per un pacchetto di viaggio (Tre Titolari Autonomi)
  • Società che trasmette i dati personali dei dipendenti (es stipendi, assicurazioni sanitarie) agli Enti (es. INPS, INAIL etc)  sulla base di una legge – Titolari Autonomi (Guidelines 7/2020 EDPB)
  • Piattaforma di Social Network – Titolare (Opinion 1/2010)
  • Società che carica dati personali anche di terzi su Social Network per finalità sue proprie – Titolare autonomo (Opinion 1/2010)
  • Società gestore del Motore di ricerca su internet (es Google) – Titolare (Varie sentenze CGUE)
  • Banche dati creditizie – Titolari autonomi (Opinion 1/2010)
  • Società proprietaria dell’immobile che installa un suo impianto di Videosorveglianza agli ingressi dell’immobile – Titolare (Opinion 1/2010)
  • Società (es. editore) che effettua pubblicità comportamentale – Titolare autonomo (Opinion 1/2010)
  • Società che effettua consegne postali / Corrieri – Responsabili (Opinion 1/2010)
  • Consulente del Lavoro – Responsabile (Risposta del Garante Privacy al quesito posto dal Consiglio Nazionale Consulenti del Lavoro – Gennaio 2019)
  • Società capogruppo che svolge adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori – Responsabile (Linee guida Garante sul trattamento di dati personali dei lavoratori privati – 23 novembre 2006)
  • Società che fornisce servizi di localizzazione geografica per servizio di localizzazione dei veicoli- Responsabile (Provvedimento del Garante del 2011)
  • Società esterna che fornisce Servizi di posta elettronica – Responsabile (Provvedimento del Garante del 22 dicembre 2016)
  • Società di Sicurezza che effettua televigilanza – Responsabile (Provvedimento del Garante del 20 novembre 2014)

In rete vi sono utili strumenti per supportare quanti si trovano in difficoltà nell’identificare Titolare e Responsabile.

Per esempio la checklist dell’ICO

Roberto Maraglino

Vedo gente, faccio cose. La mia prima parola è stata privacy, la seconda data breach. Mi occupo di data protection da tanto tempo, adesso sto cerando di smettere ma forse è tardi. Appassionato di tante cose, tante cose!