Le nuove regole privacy – III° parte
di Lucia Recchioni - Comitato Scientifico Master Breve 365Il nuovo Regolamento privacy prevede, come in passato, le figure del titolare del trattamento e del responsabile del trattamento, definendone, in maniera ancora più precisa, i compiti.
Una nuova figura, prima non prevista, è invece quella del Responsabile per la protezione dei dati (RPD, o anche Data Protection Officer – DPO): si sottolinea, pertanto, che il responsabile del trattamento e l’RPD-DPO sono due figure distinte.
Il responsabile del trattamento (articolo 28 Regolamento UE), infatti, continua ad essere colui che tratta i dati per conto del titolare.
A differenza del passato, però, quando l’unico soggetto ad essere obbligato al rispetto delle norme privacy era il titolare (in quanto gli obblighi del responsabile erano meramente contrattuali, in funzione di quanto contrattualmente stabilito con il titolare), oggi il responsabile del trattamento è destinatario di specifici obblighi, come, ad esempio, la tenuta del registro dei trattamenti svolti ai sensi dell’articolo 30, par. 2, Regolamento; l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ai sensi dell’articolo 32 Regolamento); la designazione di un RPD-DPO.
Il responsabile del trattamento deve essere designato con un contratto nel quale dovranno essere disciplinate tassativamente le materie indicate nell’articolo 28, par. 3, Regolamento.
Il contratto, pertanto, deve prevedere, tra l’altro, che il responsabile del trattamento, tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate per dare seguito alle richieste per l’esercizio dei diritti dell’interessato ed assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento.
Tutto quanto premesso, si rende quindi necessario, per i titolari di trattamento, verificare che i contratti o gli altri atti che attualmente disciplinano i rapporti con i responsabili siano conformi a quanto appena richiamato.
In caso contrario, dovranno essere apportate le necessarie integrazioni o modifiche.
È inoltre opportuno soffermare l’attenzione su quella che è la vera novità del Regolamento privacy: il nuovo principio di “responsabilizzazione” (“accountability”).
I titolari e i responsabili devono infatti adottare comportamenti idonei a dimostrare la concreta applicazione del Regolamento, potendo tuttavia decidere in autonomia le modalità, le garanzie e i limiti del trattamento dei dati, prevedendo fin dall’inizio le garanzie indispensabili per la tutela dei diritti degli interessati e il rispetto del Regolamento (criterio, questo, che viene spesso sintetizzato con l’espressione inglese “data protection by default and by design” – articolo 25 Regolamento UE 679/2016).
Altra importante novità è poi contenuta nell’articolo 26 Regolamento UE 679/2016 e riguarda la contitolarità del trattamento.
Si parla di contitolarità dei dati quando “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento”.
Si pensi, a mero titolo di esempio, al medico specialista che opera all’interno della struttura sanitaria, la quale archivia i dati del paziente: questo è un caso di contitolarità del trattamento.
I contitolari devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento privacy, con particolare riguardo all’esercizio dei diritti dell’interessato.
Tutto ciò premesso, quindi, è sempre necessario valutare l’esistenza di situazioni di contitolarità, rendendosi in questo caso necessario il richiamato accordo interno.
Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso: