Titolare autonomo e responsabile del trattamento dati: ruoli e differenze alla luce del GDPR

Le figure di titolare “autonomo” e responsabile del trattamento dei dati suscitano un dibattito interpretativo attuale, su cui si è espresso anche il Garante della privacy nel tentativo di fare chiarezza. Ecco il contesto normativo e i differenti ruoli nel trattamento dei dati personali

A poco più di un anno dall’applicazione del GDPR, nonostante la precisazione diffusa dal Garante in risposta al quesito posto dal Consiglio nazionale dei consulenti del lavoro in ordine all’autonoma titolarità del trattamento dei dati, il dibattito interpretativo sul binomio, ove esistente, tra titolare “autonomo” e responsabile del trattamento dati risulta più che mai attuale.

Molte categorie professionali hanno preso posizione rifiutando o comunque mal digerendo una nomina quale responsabile del trattamento ritenendo di avere autonoma titolarità sui singoli dati trattatati siano essi propri ovvero derivati.

Titolare autonomo e responsabile del trattamento dati: il contesto normativo

Come noto, oramai, il GDPR, in un’ottica generale di maggiore flessibilità, ridisegna i rapporti tra i vari soggetti coinvolti nel trattamento consentendo ai titolari di contribuire fattivamente a far vivere le norme in esso contenute.

L’articolo 4, comma 7, del GDPR definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato ed al comma 8 delinea il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Dunque, potremmo definire il titolare come colui che decide le sorti del trattamento ed il responsabile come colui che opera per conto del titolare.

Il Regolamento, rispetto alla previgente disciplina, ha sicuramente precisato e delimitato i compiti che possono essere attribuiti dal titolare del trattamento al responsabile, individuando espressamente l’ambito delle rispettive responsabilità, le modalità nonché gli obblighi di cooperazione cui questi è tenuto esclusivamente in funzione delle attività svolte per conto del titolare.

La posizione del Garante

La risposta data dal Garante in data 22/01/2019, i cui principi sono applicabili a svariate categorie, partendo proprio dalla definizione di cui all’art. 4, consente di orientarci verso l’una o l’altra scelta attraverso un’attenta valutazione dei singoli rapporti: ruolo rivestito; tipo di attività e diverse modalità di trattamento.

Occorre, dunque, distinguere la posizione del soggetto che tratta dati in ragione dell’incarico ricevuto, contenente anche le istruzioni sulle modalità, dalla diversa ipotesi nella quale questi non si limiti ad effettuare un’attività meramente esecutiva di un trattamento “per conto” del cliente, bensì eserciti un potere decisionale del tutto autonomo sulle “finalità” e sui “mezzi del trattamento”.

Nel primo caso dovrà essere inquadrato e qualificato come responsabile nel secondo caso quale titolare del trattamento.
Il trattamento dei dati effettuato dai “professionisti” ed il fatto che questi siano già soggetti a norme anche deontologiche, non attribuisce loro una diversa autonomia rispetto a quei dati che provengono dall’esterno ossia non in ragione di un incarico ma di un rapporto derivato.

Peraltro, la scelta di qualificarsi quali titolari autonomi del trattamento o co-titolari comporta una serie di obblighi ancor più stringenti rispetto alla figura del responsabile.

Garanzie e ruoli

Con riferimento alla tutela dell’interessato, infatti, la distinzione titolare autonomo e responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, distinzione che diventerebbe invece decisiva con riguardo alle rispettive responsabilità.

Il titolare, come sappiamo, assume responsabilità ben specifiche ed individuate nelle norme del regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.
È dunque evidente il maggior carico di responsabilità e compiti attributi al titolare rispetto al responsabile.

È pur vero che nella prassi, assai di frequente, si assiste a maldestre o generiche “istruzioni” contenute in succinti e standardizzati contratti o altri “atti di nomina”, spesse volte predisposti dagli stessi responsabili, che certamente mal si prestano a rendere quelle garanzie richieste dalla norma e fungere da corretto paramento di adempimento.

Potrebbe infatti non essere infrequente l’ipotesi che il responsabile riesca a dimostrare di aver rispettato gli obblighi del GDPR e le istruzioni ricevute dal titolare andando così esente da responsabilità per il danno subito dall’interessato in caso di contestazione.

Definiti così i ruoli e l’inquadramento del responsabile quale soggetto che tratta dati personali per conto del titolare del trattamento, in molte ipotesi concrete tale inquadramento sembra vacillare scontrandosi con la realtà e la prassi.

Conclusioni

Dunque, se da un punto di vista esplicativo tale qualifica risulti più corretta, da un punto di vista pratico, talvolta, risulta difficile immaginare il concreto esercizio di quei poteri di controllo per il quale il Regolamento assegna al titolare nei confronti del responsabile del trattamento.

Come accennato, e in generale, la flessibilità ed il principio di armonizzazione posti alla base del nuovo Regolamento EU, unitamente ai fondamentali principi di accountability e dei criteri di privacy by design e privacy by default, dovrebbero orientare gli operatori ad agire guardando il singolo caso concreto, concentrandosi più sulle finalità piuttosto che sui formalismi, preferendo il generale principio della sostanza sulla forma nella primaria ottica di protezione dei dati e prima ancora delle persone.

 

Fonte: CyberSecurity360