16 Mag Il titolare del trattamento: definizione
Il Regolamento delinea la figura del titolare all’art. 4, paragrafo 1, n. 7 come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». Dunque il titolare è il soggetto che detiene il potere decisionale in relazione alle finalità del trattamento, all’impartire istruzioni e direttive oltre a svolgere funzioni di controllo.
Sotto il profilo soggettivo nel caso in cui il trattamento dei dati sia effettuato da una persona giuridica, titolare del trattamento dovrà essere considerata l’entità nel suo complesso, e non i singoli soggetti persone fisiche che amministrano o rappresentano la persona giuridica in questione (cfr. circolare 13.11.1997 Garante Privacy).
In merito alle novità introdotte dal Regolamento, l’art. 30, comma 1 prevede in capo al titolare del trattamento ed anche al suo rappresentante, qualora presente, l’obbligo di tenere il registro delle attività di trattamento svolte sotto la sua responsabilità.
Il registro, redatto in forma scritta ovvero in formato elettronico, è obbligatorio quando l’organizzazione ha più di 250 dipendenti.
In particolare, il registro dei trattamenti deve contenere una serie di informazioni, quali:
1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
6. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. una descrizione generale delle misure tecniche e organizzative adottate per garantire la sicurezza dei dati.
Un’ulteriore novità risiede nell’art. 26 che stabilisce la contitolarità del medesimo trattamento da parte di due o più titolari:
«1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i raporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente Regolamento nei confronti di e contro ciascun titolare del trattamento».
Al verificarsi di tale circostanza i titolari dovranno definire specificamente le rispettive sfere di responsabilità e compiti con particolare riferimento all’osservanza degli obblighi derivanti dal Regolamento. Tale ripartizione deve trovare sede in uno specifico accordo tra i contitolari del trattamento, i cui contenuti essenziali dovranno essere messi a disposizione dell’interessato stesso.
In presenza di contitolarità, ai sensi e per gli effetti art. 26, paragrafo 3 il soggetto interessato al trattamento avrà la facoltà di esercitare in modo indifferente i propri diritti quali in via esemplificativa di accesso, all’oblio, alla limitazione del trattamento, all’opposizione e alla portabilità dei dati nei confronti di ciascun titolare del trattamento.
Un’ipotesi particolare prevista all’art. 27 del Regolamento è quella afferente la mancata collazione nel territorio dell’Unione Europea del titolare ovvero del responsabile del trattamento, qualora nominato, e ciò in linea con il disposto di cui all’art. 3, paragrafo 2 che stabilisce l’applicazione del presente Regolamento «al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione».
In questi casi, il titolare del trattamento è tenuto ad individuare per iscritto un proprio rappresentante all’interno dell’Unione Europea.
Questo obbligo, tuttavia, subisce una disapplicazione laddove che i diritti dell’interessato siano sufficientemente tutelati e, precisamente quando:
1. il trattamento è occasionale e non implica il trattamento di dati «sensibili», quali: i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, biometrici o relativi allo stato di salute o all’orientamento sessuale della persona ovvero di dati personali relativi a condanne penali o a reati consistenti nell’illiceità del trattamento dei dati, ed è improbabile che comporti un rischio per i diritti e le libertà delle persone tenendo anche in considerazione la natura, il contesto, l’ambito di applicazione e le finalità del trattamento stesso; oppure
2. il titolare del trattamento è un’autorità pubblica o comunque un organismo pubblico.
Al fine di agevolare la comunicazione con i soggetti interessati e con le autorità è infine previsto che il rappresentante possa essere incaricato dal titolare del trattamento ovvero, se nominato dal responsabile a fungere da interlocutore – in aggiunta o anche in sostituzione al titolare stesso- con le autorità di controllo e con gli interessati per tutte le questioni relative al trattamento dei dati personali.
Ad ogni modo, anche nel caso in cui sia stato nominato un rappresentante del titolare straniero, rimane sempre salva la possibilità d’azione legale direttamente ai danni del titolare del trattamento.