Il GDPR delinea la figura del titolare del trattamento negli stessi termini previsti dalla Direttiva 95/46/CE e dal Codice Privacy. Come risulta infatti dall’art. 4, paragrafo 1, n. 7) del GDPR, il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Ciò che consente di individuare il soggetto titolare del trattamento è, pertanto, il potere decisionale a lui imputabile in ordine al trattamento dei dati personali.
In particolare, come precisato anche dal Garante per la protezione dei dati personali (Provvedimento del 29 aprile 2009, che tuttora si può ritenere appropriato), il titolare del trattamento dei dati è individuabile come quella figura che ha il potere di:
- prendere decisioni in relazione alle finalità del trattamento;
- impartire istruzioni e direttive;
- svolgere funzioni di controllo.
La norma prosegue poi precisando che, nei casi in cui le finalità e i mezzi del trattamento siano determinati direttamente dal diritto dell’Unione o degli Stati membri, anche il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti a monte a livello legislativo (europeo o nazionale).
Sotto il profilo soggettivo è opportuno precisare, come risulta anche dall’art. 28 del Codice Privacy, che nel caso in cui il trattamento dei dati sia effettuato da una persona giuridica, titolare del trattamento dovrà essere considerata l’entità nel suo complesso, e non i singoli soggetti -persone fisiche- che amministrano o rappresentano la persona giuridica in questione.
A tale proposito, il Garante per la protezione dei dati personali con una circolare del 13 novembre 1997, e riferendosi all’abrogata L. 675/1996, ebbe già a suo tempo modo di chiarire che “qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.)”.
Per quanto riguarda le novità introdotte dal GDPR, l’art. 30, comma 1, prevede in capo al Titolare del trattamento (e anche al suo rappresentante, se presente) l’obbligo di tenere il registro delle attività di trattamento svolte sotto la sua responsabilità. Si tratta di un registro che deve essere redatto in forma scritta, anche in formato elettronico, ed è obbligatorio quando l’organizzazione ha più di 250 dipendenti. In particolare, il registro dei trattamenti deve contenere una serie di informazioni, quali:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure tecniche e organizzative adottate per garantire la sicurezza dei dati.
Un altro elemento di novità che il GDPR introduce in argomento consiste nella possibile contitolarità del medesimo trattamento da parte di due o più titolari (art. 26: “1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. 2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato. 3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento”). Il Regolamento prescrive che, in questa circostanza, i titolari dovranno definire specificamente le rispettive sfere di responsabilità e i rispettivi compiti, con particolare riferimento all’osservanza degli obblighi derivanti dal GDPR, all’esercizio dei diritti dell’interessato, e alle rispettive funzioni di comunicazione delle informazioni da fornire all’interessato. Questi elementi dovranno essere parte di un apposito accordo interno tra i contitolari del trattamento, i cui contenuti essenziali dovranno essere messi a disposizione dell’interessato stesso.
Nel caso in cui si configuri un’ipotesi di contitolarità, il soggetto interessato avrà inoltre, secondo quanto disposto dall’art. 26, paragrafo 3, la facoltà di esercitare i diritti che il Regolamento gli riconosce (quali, ad esempio, il diritto di accesso, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto all’opposizione e il diritto alla portabilità dei dati) nei confronti di ciascun titolare del trattamento, indifferentemente.
Un’ipotesi particolare presa in considerazione dal GDPR è poi quella in cui il titolare del trattamento (o il responsabile del trattamento, se nominato) non siano stabiliti nel territorio dell’Unione Europea. Come previsto infatti dall’art. 3, paragrafo 2, infatti, il Regolamento si applica anche “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
In questi casi, quindi, il Regolamento stabilisce, all’art. 27, che il titolare del trattamento è tenuto ad individuare per iscritto un suo rappresentante all’interno dell’Unione.
Questo obbligo tuttavia non si applica in due ipotesi, in cui il GDPR presume che i diritti dell’interessato siano comunque sufficientemente tutelati, che si verificano:
- quando il trattamento è occasionale, non implica il trattamento di dati “sensibili” (quali: i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, biometrici o relativi allo stato di salute o all’orientamento sessuale della persona), o di dati personali relativi a condanne penali o a reati consistenti nell’illiceità del trattamento dei dati, ed è improbabile che comporti un rischio per i diritti e le libertà delle persone tenendo anche in considerazione la natura, il contesto, l’ambito di applicazione e le finalità del trattamento stesso; oppure
- quando titolare del trattamento è un’autorità pubblica o comunque un organismo pubblico.
Quando, invece, il rappresentante deve esserci, lo stesso dovrà essere stabilito in uno degli Stati membri in cui si trovano i soggetti interessati i cui dati personali sono trattati nel contesto di un’offerta di beni o servizi o il cui comportamento è monitorato.
Al fine di agevolare la comunicazione con i soggetti interessati e con le autorità è infine previsto che il rappresentante possa essere incaricato dal titolare del trattamento (o, se nominato, dal responsabile) a fungere da interlocutore -in aggiunta o anche in sostituzione al titolare stesso- con le autorità di controllo e con gli interessati per tutte le questioni relative al trattamento dei dati personali.
Ad ogni modo, anche nel caso in cui sia stato nominato un rappresentante del titolare straniero, rimane sempre salva la possibilità di agire legalmente direttamente nei confronti del titolare del trattamento.