12 / 53
SPECIALE GDPR
&RPH VRQR GH¼QLWL L VRJJHWWL WLWRODUH H UHVSRQVDELOH FRVD SUHYHGH LO SULQFLSLR GL DFFRXQWDELOLW\
H FRVD VL LQWHQGH SHU SULYDF\ E\ GHVLJQ H SULYDF\ E\ GHIDXOW
I
l Regolamento UE 679/2016, o meglio il nuovo GDPR,
definisce le caratteristiche e le responsabilità di titolare
e responsabile del trattamento, più o meno, negli stes-
si termini della direttiva 95/46/CE, ovvero la Direttiva
sulla protezione dei dati del 1995. Questo significa che
- dove il nuovo Regolamento non dispone diversamen-
te - continua ad applicarsi il D. Lgs. 196/2003 (Codice
della Privacy).
Titolare
Il titolare è il soggetto che decide di effettuare un’attività
di trattamento e ne determina le finalità e le modalità.
Nell’impianto del nuovo Regolamento tocca al titolare
(e/o al responsabile), tra le tante altre cose, curare la
tenuta dei registri dei trattamenti (art.30, par.2); prov-
vedere all’adozione di idonee misure tecniche e orga-
nizzative (art.32); designare il Data Protection Officer
(DPO), nei casi previsti dal Regolamento o dal diritto
nazionale (art.37); e provvedere alla notifica delle vio-
lazioni (data breaches, artt.33 e 34).
Nel caso in cui il titolare sia una persona giuridica, il Co-
dice della Privacy precisa che titolare del trattamento è
l’entità nel suo complesso (art.28), in persona del suo,
o dei suoi, legali rappresentanti.
Il titolare è colui che “mette in atto misure tecniche ed
organizzative adeguate per garantire, ed essere in gra-
do di dimostrare che il trattamento è effettuato con-
formemente al ...regolamento” (art.24 reg. UE) e che
è responsabile in caso di omissione e/o di incapacità di
dimostrarne l’attuazione (artt.82 e 83).
Nel Regolamento la responsabilità del titolare è di tipo
oggettivo, implicando quale prova liberatoria il fatto che
il danno non gli sia “in alcun modo imputabile”, dipen-
dendo da un fatto esterno non riconducibile alla sua
sfera giuridica, che toccherà a lui dimostrare.
Il titolare resta responsabile dei trattamenti effettuati
I CAPISALDI INTRODOTTI
DALLA NORMATIVA
Maria Notaristefano
Avvocato del Foro di Perugia
anche nel caso abbia nominato un Data Protection Of-
ficer (art.37 e ss. reg. UE).
Il nostro Codice della Privacy non menzionava espres-
samente la figura del contitolare, previsto invece dalla
direttiva 95/46/CE.
Ora, l’art.26 del GDPR prevede espressamente la con-
titolarità nelle attività di trattamento dei dati personali
“allorchè due o più titolari del trattamento determina-
no congiuntamente le finalità e i mezzi del trattamen-
to”. La norma non chiarisce esplicitamente se la finalità
perseguita dal trattamento debba essere unica per tutti
i contitolari, o se sia possibile anche solo una parziale
corrispondenza tra finalità diverse.
Richiamando i principi del caso SWIFT (WP 29 parere
10/2006, n. 128), si può affermare che la contitolarità
sussiste rispetto a trattamenti utili alle finalità perseguite
da ciascun titolare, almeno per la parte relativa al trat-
tamento che riguarda la parte comune delle attività di
interesse dei diversi soggetti.
Si prevede cioè che i contitolari possano avere respon-
sabilità distinte che spetta loro regolamentare con uno
specifico accordo interno, il quale però non può co-
munque pregiudicare il diritto di chiunque possa esse-
re interessato, avendone la facoltà come stabilito dalla
norma, a esercitare i propri diritti “nei confronti di e
contro ciascun titolare del trattamento”; così come non
può essere in alcun modo resa vana la responsabilità so-
lidale di entrambi per l’intero danno, proprio al “fine di
garantire il risarcimento effettivo dell’interessato” (art.
82, par. 4). La stipula dell’accordo interno tra i contito-
lari è obbligatoria.
Responsabile
Nel GDPR , così come nel Codice della Privacy, il re-
sponsabile è colui che effettua il trattamento per conto e
nell’interesse del titolare. Ma il responsabile è un sogget-
42
dicembre 2017