C’è posta per tech | Privacy. Rousseau e il Movimento 5 stelle: Il titolare e il responsabile del trattamento

0 0
Read Time4 Minute, 23 Second

La querelle scaturita tra l’Associazione Rousseau e il Movimento 5 stelle, sulla quale da ultimo si è pronunciato il Garante, consente di inquadrare correttamente le figure del  titolare e del responsabile del trattamento

I concetti di titolare e di responsabile del trattamento svolgono una funzione cruciale nell’applicazione del GDPR, in quanto individuano i soggetti chiamati in prima persona al rispetto della disciplina sulla protezione dei dati personali.

Il titolare del trattamento è quel soggetto che decide, autonomamente o congiuntamente, in merito alle finalità e le metodologie di trattamento dei dati personali. È fondamentale chiarire che la titolarità del trattamento non è disponibile: non si può nominare un soggetto titolare. La titolarità è uno “stato di fatto”. Titolare può essere sia una persona fisica (Sig Mario Bianchi) e sia qualsiasi tipologia di persona giuridica (società, enti pubblici ecc.). Nel caso di persona giuridica essa è normalmente titolare nel suo complesso ma può divenire titolare una sua singola articolazione interna se risulta a tal fine sufficientemente organizzata e dotata di reale autonomia. Per spiegare, con un esempio, la figura per quanto riguarda i trattamenti eseguiti nelle pubbliche amministrazioni il titolare del trattamento è il Comune in quanto persona giuridica.

Il titolare, inoltre, ha dei compiti ben precisi:

  • è giuridicamente responsabile per quanto riguarda il rispetto della normativa;
  • Ha l’obbligo di notifica al Garante una violazione di dati personali (cd. data breach)
  • Deve garantire la tutela dei diritti dell’interessato attraverso l’implementazione di adeguate misure di sicurezza;
  • Ha il compito di adottare le misure necessarie affinché i dati non siano trattati in maniera illecita, distrutti, persi o divulgati.
  • Se necessario è tenuto a redigere il registro dei trattamenti.

Il responsabile, invece, entra in gioco nel momento in cui il titolare decide di delegare parte del trattamento ad un soggetto esterno. Per fare anche qui un esempio pratico di responsabile del trattamento: la ditta esterna alla quale il Comune – a seguito di un apposito bando di gara – conferisce la funzione di riscuotere i propri tributi. Nello specifico, il titolare designa il responsabile attraverso un contratto o altro atto giuridico vincolante non più sulla base di una nomina meramente facoltativa – come prevista dalla normativa precedente al GDPR – ma obbligatoria. Tale accordo, quindi, vincola il responsabile al titolare e disciplina quali dati vengono trattati, per quali finalità, eventualmente per quali categorie di interessati e quali sono gli obblighi e i diritti del titolare.

Punto focale del rapporto tra titolare e responsabile è l’art. 28 del GDPR in quanto individua le garanzie che il responsabile deve dare al titolare.
Quali sono queste garanzie?
Sono 8 punti elencati nel testo del Regolamento e devono essere presenti nell’atto di nomina o contratto. In sintesi sono:
1) Il responsabile deve trattare i dati solo su istruzione documentata dal titolare;
2) Il responsabile deve garantire che le persone autorizzate al trattamento si sono impegnate alla riservatezza;
3) Il responsabile dichiara di aver adottato le misure di sicurezza per garantire un livello di sicurezza adeguato;
4) Il responsabile dichiara di rispettare la responsabilità della catena dei responsabili;
5) Nel documento deve essere chiaro cosa succede se un interessato esercita i suoi diritti e chiede come vengono trattati i suoi dati;
6) Il responsabile ha l’obbligo di assistere il titolare in caso di violazione sul trattamento;
7) Devono essere indicate le modalità di cancellazione e restituzione delle informazioni date al responsabile;
8) Il responsabile mette a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.

 Il provvedimento del Garante privacy

Posto quanto sopra, in merito alla distinzione teorica, occorre sottolineare come nel caso concreto non sia sempre semplice distinguere le due figure.

Ciò è chiaramente dimostrato dal provvedimento emesso dal Garante privacy a seguito di una segnalazione con la quale il Movimento 5 stelle intimava all’Associazione Rousseau di riconsegnargli i dati riferiti ai propri iscritti registrati all’interno della Piattaforma Rousseau. Nello specifico, secondo il Movimento, l’associazione Rousseau in qualità di responsabile del trattamento non avrebbe rispettato l’obbligo previsto di restituire tutti i dati, su scelta del titolare, senza alcuna condizione, limitazione o eccezione.

Invece di rispondere nel merito l’Associazione si è più focalizzata sul profilo di capacità e legittimazione del parlamentare Vito Crimi ad agire quale persona a cui sarebbe attribuita la rappresentanza legale del Movimento 5 stelle.

A tal punto la domanda sorge spontanea…cosa ha deciso il Garante?

Il Garante, dopo avere chiarito che Titolare del Trattamento è il Movimento mentre l’associazione Rousseau è Responsabile, ha posto in evidenza come il Regolamento imponga al Responsabile di cancellare o restituire i dati “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti.

Di conseguenza, L’Autorità ha ordinato all’associazione Rousseau di mettere a disposizione del Movimento, nelle forme da questo indicate, tutti i dati personali degli iscritti al Movimento di cui l’Associazione risultasse responsabile: tutto ciò entro 5 giorni dalla ricezione del provvedimento.

La vicenda sulla titolarità/appartenenza dei dati degli iscritti al Movimento 5 stelle è la dimostrazione chiarissima di come la compliance sul trattamento dei dati ed i rapporti nascenti dalla stessa tra i vari soggetti debbano essere definiti in modo chiaro, univoco e professionale.

(di Davide Rapallino)

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleppy
Sleppy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *