ACCOUNTABILITY: IL TITOLARE DEL TRATTAMENTO E IL RESPONSABILE DELLA PROTEZIONE DEI DATI

Un vero e proprio mutamento di prospettiva si rinviene nell’assetto delle responsabilità delineato nel Regolamento europeo: vengono fortemente responsabilizzate due figure, il titolare del trattamento e il responsabile della protezione dei dati (Data Protection Officer DPO), al quale è affidato un inedito ruolo di consulenza e di garanzia. Il Regolamento riformula gli obblighi a carico del titolare, quanto alle modalità di trattamento ed alle informazioni da fornire all’interessato, e prescrive nuovi adempimenti quanto all’adozione di misura tecniche e organizzative per la sicurezza dei dati ed alla preventiva valutazione del rischio inerente il trattamento.

Nel nuovo assetto stabilito dal Regolamento uno dei principi cardine è l’accountability: il principio di responsabilizzazione ispira tutto il Regolamento e condiziona le scelte organizzative sin dalla loro genesi. La libertà imprenditoriale di decidere come organizzare l’attività economica è vincolata alla verifica che gli impianti e/o gli strumenti produttivi prescelti non determinino un controllo più penetrante di quello necessario, imponendo una verifica preliminare dei rischi per la dignità e la riservatezza dell’individuo.

Il titolare del trattamento (Controller), al vertice della gerarchia, è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n.7 Reg.). Il titolare è il principale obbligato a mettere in atto misure che garantiscano la conformità del trattamento alla normativa europea: grava interamente sul titolare l’onere probatorio della dimostrazione della liceità dei trattamenti svolti. Deve essere in grado di dimostrare di avere adottato misure adeguate ed efficaci a proteggere i dati personali, elaborando uno specifico “modello organizzativo” che, tenuto conto del contesto e delle finalità di trattamento, minimizzi i rischi per le libertà degli interessati. Al titolare è richiesto di assumere un atteggiamento proattivo che consenta di perseguire le sue legittime finalità, ad esempio di

142 _{Da leggere in correlazione con i considerando 47, 48 e 49 a proposito dei legittimi interessi del titolare del}

trattamento: I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento.

71

tutela del patrimonio informatico, adottando al contempo tutte le misure necessarie a prevenire comportamenti rischiosi del lavoratore e controlli invasivi dello stesso.

Nell’ambito del rapporto di lavoro, il titolare coincide con il “centro effettivo di imputazione” del rapporto di lavoro143_{: nel caso in cui siano ammessi più datori di lavoro}

(codatorialità) la titolarità del trattamento deve essere congiunta.

Al titolare si affianca il responsabile della protezione dei dati (DPO) (artt. 37-39 Reg.), designato dal titolare stesso, tramite nomina documentata per iscritto e comunicata all’Autorità Nazionale Garante per la protezione dei dati personali, al fine di collaborare nella gestione della protezione dei dati personali, soprattutto in presenza di trattamenti più a rischio. Può trattarsi di un consulente esterno o di un lavoratore subordinato (che non potrà essere penalizzato o licenziato a causa dell’adempimento dei propri compiti) che in ragione delle sue elevate competenze tecnico giuridiche dovrà garantire la conformità dei trattamenti al Regolamento, una sorta di sostituto del Garante all’interno dell’azienda, coinvolto “tempestivamente” ed “adeguatamente” in tutte le questioni riguardanti la protezione dei dati personali. Il DPO sorveglia sull’osservanza del Regolamento inclusa la sensibilizzazione e la formazione del personale, verifica l’esercizio dei diritti da parte dei lavoratori interessati dal trattamento e fornisce pareri sulla valutazione d’impatto delle misure adottate. Inoltre, coopera con l’Autorità di controllo anche fungendo da contatto con la stessa per questioni attinenti al trattamento di dati particolari o di trattamenti che presentino un rischio elevato per l’interessato. La nomina è obbligatoria per tutte le autorità o organismi pubblici e per le imprese private nel caso in cui le loro attività principali consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o comunque trattamenti su larga scala di dati particolari o penali. Nel caso la nomina non sia obbligatoria il Gruppo dei Garanti europei ne auspica la nomina volontaria.

Il Regolamento prescrive nuovi ed ulteriori adempimenti riferiti all’adozione di misura tecniche e organizzative per la sicurezza dei dati ed alla preventiva valutazione del rischio inerente il trattamento. Si configura una procedura obbligatoria e indispensabile per processi di trattamento dei dati considerati “pericolosi” dal Regolamento, dalle Autorità Garanti o dal

143 _{Il richiamo all’effettività da parte del Gruppo ex art. 29 si riferisce all’effettiva capacità di un soggetto}

all’interno dell’organizzazione di decidere in ordine alle finalità e ai mezzi di trattamento, in base alle circostanze del caso concreto (parere n.1/2010 sui concetti di responsabile ed incaricato del trattamento). V. conformemente Linee guida per il trattamento dei dati dei dipendenti privati del 23.11.2006.

72

Comitato Europeo, che prevede l’analisi e la valutazione dei rischi, unitamente a una valutazione d’impatto sulla protezione della riservatezza (Privacy Impact Assessment). L’analisi e la valutazione dei rischi determinano il conseguente obbligo del titolare di adottare misure di sicurezza tecniche e organizzative “adeguate” al rischio e alla pericolosità del trattamento per i diritti e la libertà delle persone (artt. 5 e 32 Reg.), non più “minime” come nella precedente disciplina. La valutazione d’impatto sulla protezione dei dati, che sostituisce il previgente istituto della verifica preliminare da parte del Garante per la protezione dei dati, impone di valutare in anticipo le conseguenze negative sui diritti e sulle libertà delle persone fisiche interessate al trattamento rispetto allo sviluppo di un prodotto/servizio/processo e tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento e della sua definizione, impone una mappatura periodica in relazione allo stato di applicazione del sistema di privacy ai processi aziendali. L’iter di trattamento dei dati personali è procedimentalizzato al fine non solo di valutare preliminarmente l’impatto sulla privacy rispetto alle soluzioni tecnico-organizzative adottate nell’azienda ma anche di effettuare le opportune verifiche e apportare i necessari correttivi. Tra i nuovi adempimenti ai quali sono sottoposti il titolare e il responsabile del trattamento vi è anche quello di tenere il registro delle attività di trattamento (art. 30 Reg.), redatto a cura del titolare, nel quale vengono annotati i trattamenti effettuati con l’obbligo di conservazione della documentazione, l’indicazione di una serie dettagliata di informazioni (riferimenti dei responsabili interni/esterni; finalità e ambiti di comunicazione e diffusione; misure di sicurezza adottate) e l’obbligo di esibirlo al Garante su sua richiesta. Il registro dei trattamenti rappresenta una rigorosa formalizzazione dei doveri di documentazione degli adempimenti e delle procedure di trattamento e impone di comunicare eventuali violazioni nel trattamento dei dati e/o incidenti informatici (personal data breach) entro termini molto brevi (dalle 48 alle 72 ore) agli interessati e alle Autorità Garanti (artt. 33-34 Reg.). Tale registro sarà obbligatorio per imprese o organizzazioni con più di 250 dipendenti ovvero per imprese di dimensioni inferiori qualora il trattamento effettuato dalle stesse possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di dati che nella precedente regolamentazione erano definiti come sensibili o giudiziari (art. 30, co. 5, Reg.).

A carico di titolari e responsabili sono previsti obblighi informativi e formativi del personale volti alla promozione della consapevolezza rispetto a tutti i temi della privacy nei diversi livelli aziendali. La condivisione della nuova normativa e l’acquisizione da parte dei

73

dipendenti di maggiore consapevolezza dovrebbero garantire una maggiore tutela della

privacy anche a livello di policies e di prassi aziendali.