HOME

/

DIRITTO

/

PRIVACY 2024

/

PRIVACY: CHI È IL TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI, CASI AZIENDALI

Privacy: chi è il Titolare del trattamento dei dati personali, casi aziendali

Come viene individuato il Titolare del trattamento dei dati personali all'interno dell'azienda, ecco le risposte fornite dalla Commissione europea

Ascolta la versione audio dell'articolo

Il Titolare del trattamento non è una figura nuova nell’ambito della normativa privacy.
Secondo quanto stabilito dall’art. 4 comma 7 del GDPR, il Titolare del trattamento (data controller) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
In sostanza il “titolare del trattamento” non solo è colui che ha la facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri (e senza dover rendere conto a terzi che non siano gli interessati), ma è anche colui che decide sia le ragioni che le modalità del trattamento dei dati.

In linea generale, quindi il Titolare è individuato nel vertice dell’azienda, ovvero la società, l'ente, l'associazione o lo studio associato nel loro complesso e, pertanto, corrisponde ad una persona giuridica.

Nel caso in cui il trattamento dei dati venga effettuato nell'ambito di una persona giuridica, di una Pubblica Amministrazione o di un altro organismo, il titolare deve essere identificato nell'ente nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché in taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile del trattamento".

Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (si veda in proposito il Parere emesso da parte dell’Autorità Garante per la Tutela dei Dati Personali in data 9 dicembre 1997).

Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.

Il Regolamento Europeo per la Tutela dei Dati personali riconosce come possibile la coesistenza di più “titolari del trattamento” (“contitolari” o “jointes controllers”) che decidono congiuntamente il trattamento di uno specifico insieme di dati per conseguire una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti. In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

Sul sito della Commissione europea sono state pubblicate alcune FAQ utili alle aziende per chiarire che cosa queste ultime debbano fare per rispettare le norme UE sulla protezione dei dati.

Vediamo le risposte fornite in merito all’individuazione del Titolare del trattamento in alcune realtà aziendali prese ad esempio.

L'articolo continua dopo la pubblicità

Ti puo interessare il  Software GB Privacy   offerto in diverse configurazioni e il pacchetto di 3 e-book sulla Tutela della Privacy

 

1) Può essere qualcun altro a trattare i dati per conto della mia organizzazione?

Può essere qualcun altro (una persona fisica o giuridica o qualsiasi altro organismo) a trattare i dati personali per te, a condizione che esista un contratto o altro atto giuridico. È importante che il responsabile del trattamento da te nominato fornisca garanzie sufficienti nell’attuare misure tecniche e organizzative adeguate per assicurare che il trattamento rispetti gli standard del regolamento generale sulla protezione dei dati e che i diritti delle persone siano tutelati.

Il responsabile designato non può successivamente nominare un altro responsabile senza la tua autorizzazione scritta, specifica o generale. Il contratto o l’atto giuridico tra la tua azienda/organizzazione e il responsabile deve includere i seguenti elementi:

  • il trattamento può avvenire solo su istruzioni documentate da parte del titolare del trattamento;
  • il responsabile del trattamento assicura che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
  • il responsabile del trattamento deve offrire un livello di sicurezza minimo definito dal titolare del trattamento;
  • il responsabile del trattamento deve aiutarti a garantire la conformità con il GDPR.

Casi aziendali

Un’impresa edile utilizza un subappaltatore per determinati lavori e gli fornisce i dati di contatto dei clienti per i quali bisogna eseguire tali lavori.
Il subappaltatore utilizza i dati anche per inviare materiale marketing ai clienti. Il subappaltatore in questo caso non può essere considerato un semplice «responsabile del trattamento» ai sensi del GDPR, in quanto il subappaltatore non tratta i dati personali solo per conto dell’impresa edile, ma anche per le proprie finalità.

Il subappaltatore funge pertanto da «titolare del trattamento».

Sei una società di vendita al dettaglio che decide di archiviare una versione di back-up del proprio database clienti su un server basato su cloud. A tal fine stipuli un contratto con un fornitore di servizi cloud noto per i suoi standard di protezione dei dati e che dispone di un sistema certificato di crittografia dei dati.

Il fornitore di servizi cloud è il responsabile del trattamento in quanto, conservando i dati personali dei tuoi clienti nei suoi server, tratterà i dati personali per tuo conto.

Riferimenti Normativi: Articolo 28; considerando 81 del regolamento.

2) Cosa sono il titolare del trattamento e il responsabile del trattamento?

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.

Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. Un’attività tipica dei responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’archiviazione sul cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.

Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Casi aziendali

Titolare del trattamento e responsabile del trattamento

Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti.

  • Il birrificio è il titolare del trattamento
  • e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento.

Contitolari del trattamento

La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé.

Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.

Riferimenti Normativi:

  • Articolo 4, punti 7 e 8, e articoli 24, 26, 28 e 29; considerando 74, 79 e 81 del regolamento.
  • Gruppo di lavoro ex articolo 29 — Parere 1/2010 sui concetti di «titolare del trattamento» e «responsabile del trattamento» (WP 169).

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA
Commenti

Roberta - 20/06/2018

Grazie per gli utili esempi. Io gestisco un sito e trovo difficoltà a capire come adeguarmi nel modo giusto.

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.