Gli impatti del Regolamento privacy sui rapporti tra titolari e responsabili del trattamento
Su Agenda Digitale un articolo a firma di Franco Pizzetti approfondisce il modo in cui dovranno cambiare i rapporti contrattuali tra titolari e responsabili del trattamento dei dati personali a seguito della ormai prossima piena applicazione del nuovo Regolamento privacy. L’abstract dell’articolo recita quanto segue: “Il GDPR impone di fatto di rivisitare i contratti tra titolare e responsabile del trattamento dati. Oppure, in caso di nuovi rapporti, stipulare nella fase iniziale anche i contratti e gli atti giudici vincolanti necessari. Ecco perché e come fare”.
La tradizionale ripartizione di ruoli tra titolare e responsabile è cosa nota a chi si occupa di protezione dei dati personali - scrive Pizzetti in apertura - anche se in Italia si fa molta fatica a comprendere che il responsabile ex art. 28 non può essere una figura che fa parte dell’organizzazione del titolare ma solo un soggetto ad essa esterna, con una propria struttura autonoma e che è legato al titolare da un contratto o da un atto giuridico. Il motivo di tanta fatica è che su questo punto, unico in tutta l’Unione Europea, il Codice italiano per la protezione dei dati personali prevedeva anche la figura del responsabile interno all’organizzazione del titolare, al quale potevano essere delegate specifiche responsabilità anche con effetto esterni verso l’Autorità di controllo e gli interessati. Normativa, questa, del tutto incompatibile col nuovo GDPR e dunque destinata a perdere automaticamente la sua efficacia a seguito della sua entrata in vigore.
Tuttavia, una volta chiarito che il responsabile come figura distinta e diversa dal titolare come regolata dall’art. 28 del GDPR può essere solo una figura esterna, distinta e separata dall’organizzazione del titolare, come del resto fin dal 2010 aveva ben chiarito il Working Party29 nella sua Opinion, i problemi qui prospettati sono sufficientemente noti, così come è esperienza comune la difficoltà, riconosciuta anche nella opinione del Working Party 1/2010, che in concreto si può incontrare per definire esattamente, nell’ambito di una catena di trattamenti tra loro connessi, la qualificazione dei diversi soggetti che, in posizioni diverse uno dall’altro, prendono parte alle attività svolte.
Questo vale sia rispetto a una pluralità di soggetti che siano coinvolti in un medesimo trattamento, o complesso di trattamenti, come contitolari, sia con riguardo alla distinzione tra il ruolo di titolare e quello di responsabile.
Obbligo per il titolare di valutare il rischio dei trattamenti
Per molti commentatori, invece, sembra essere molto meno chiara la mutazione fondamentale che, anche nei rapporti tra titolare e responsabile, deriva dall’obbligo per il titolare di valutare il rischio dei trattamenti che pone in essere, sia nella fase in cui li progetta che durante il periodo del loro svolgimento. Valutazione, questa, essenziale per consentire al titolare di adottare le misure tecniche e organizzative adeguate ai rischi che i trattamenti possono comportare per le libertà e i diritti delle persone (art. 24 del GDPR)...