le figure del gdpr: titolare, responsabile, soggetto autorizzato
articoli e news


Come illustrato all’interno del Regolamento Europeo 679/2016 (“GDPR”), forniamo le linee guida che descrivono i ruoli privacy relativamente al trattamento di dati personali. 

Titolare del Trattamento:

L’art. 4 n. 7 del GDPR definisce Titolare del Trattamento (Data Controller) la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che, nello svolgimento dell’attività di trattamento dei dati personali, definisce le finalità e i mezzi, comprese le misure di sicurezza da adottare, sia che agisca unicamente che con altri Titolari.

L’Articolo 24 del GDPR, tenendo conto dei rischi legati ai diritti e le libertà delle persone fisiche, definisce quali sono le responsabilità dei Titolari, comprese le misure tecniche e organizzative e il relativo aggiornamento delle stesse; propone, inoltre, le linee guida da seguire nel caso in cui l’attività di trattamento venga svolta direttamente dal Titolare o indirettamente, da organizzazioni terze, per conto del Titolare, nella qualità di Responsabile. 

Responsabile del Trattamento:

L’art. 4 n. 8 del GDPR definisce Responsabile del Trattamento (Data Processor) la persona fisica o giuridica, PA, ente o qualsiasi organizzazione che elabora i dati per conto del Titolare del Trattamento. 

Il Titolare del trattamento, che si rivolge ad aziende terze per l’elaborazione dei dati, ha la responsabilità di accertarsi che il Responsabile, a cui si rivolge, presenti un profilo di sicurezza, ovvero misure tecniche ed organizzative, adeguato, che soddisfi i requisiti previsti dal regolamento e che tuteli i diritti dell’Interessato. Inoltre, in accordo con il Codice Privacy, il Responsabile del trattamento ha l’obbligo di fornire garanzie per ciò che riguarda la natura, la durata e le finalità dell’attività di trattamento, nonché per le categorie di dati trattati.

Il Titolare del Trattamento, che si rivolge ad Responsabile per l’elaborazione dati, ha il dovere di fornire una corretta lettera di nomina in cui viene esposta l’attività di trattamento svolta dal Responsabile.

In accordo con l’art. 28 comma 4 del GDPR, il Responsabile del trattamento ha facoltà di nominare dei sub-responsabili del trattamento purché vengano rispettati gli stessi obblighi contrattuali pattuiti dal Titolare del Trattamento e il Responsabile primario.

Inoltre, come stabilito dall’art. 82, comma 3 del GDPR, il Responsabile dovrà rispondere, davanti al Titolare, anche per conto di eventuali danni causati dal Sub-Responsabile e procedere al risarcimento dei danni, fatta eccezione se il Responsabile del trattamento riesca a dimostrare che il danno causato non gli sia imputabile.

Soggetto Autorizzato:

A differenza delle figure del Titolare e del Responsabile, le cui caratteristiche e responsabilità sono ben definite dal GDPR, il Regolamento non offre una definizione precisa di incaricato al trattamento dati  sebbene sia previsto dall’art. 30 del Codice Privacy. 

Il GDPR all’art.4 n. 10 definisce come “terzi” tutte le persone autorizzate al trattamento dati che operano per il Titolare del trattamento o del Responsabile e che sono sotto l’autorità diretta di questi ultimi.

Quindi, secondo quanto previsto dal Codice Privacy in materia di incaricati al trattamento dei dati, i Titolari del trattamento così come i Responsabili possono designare all'interno del loro organico dei soggetti che hanno l’autorizzazione ad elaborare i dati personali di cui sono Titolari o che gli sono stati affidati (come nel caso del Responsabile).

I soggetti autorizzati al trattamento dei dati devono agire nel rispetto delle istruzioni impartite dal Titolare o del Responsabile e, così come previsto dall’art. 29 del GDPR, questi ultimi hanno l’obbligo di formare ed istruire chiunque abbia accesso ai dati personali, indicando anche le misure di sicurezza da adottare; i soggetti autorizzati dovranno siglare un accordo, lettera di designazione, in cui viene esposto, nel dettaglio, l’attività di trattamento svolta.

Risulta opportuno precisare che il Garante ha stabilito che la nomina di incaricato o autorizzato al trattamento può rivolgersi solo alle persone fisiche e non giuridiche, le quali saranno nominate Responsabili del trattamento.

 CASI PRATICI

  1. Imprese di pulizia

Risulta essere buona prassi, da parte dei soggetti autorizzati al trattamento, far sì che i dati personali da essi trattati non siano accessibili a soggetti esterni che non godono di alcun privilegio di trattamento. Compito del Titolare o del Responsabile, come detto prima, sarà quello di istruire i soggetti autorizzati definendo le misure di sicurezza adeguate ed evitare, quindi il rischio che documenti di qualsiasi formato, cartaceo o digitale, siano accessibili a soggetti non autorizzati.

Affinché venga rispettato il principio di minimizzazione, non è prevista una nomina a Responsabile del trattamento nei confronti dell’impresa di pulizie poiché legittimerebbe l’impresa ad un eventuale accesso al dato pur non essendo un’attività necessaria ed in contrasto con le finalità del trattamento stesso.

Quindi sarà obbligo del Titolare, del Responsabile e del soggetto autorizzato evitare che il dato sia accessibile all’impresa di pulizie.

  1. Avvocati

In relazione alla figura dell’avvocato è importante specificare che esso potrebbe ricoprire, a seconda dei casi, sia il ruolo da Titolare del Trattamento che da Responsabile a prescindere se si faccia riferimento al libero professionista o allo studio strutturato.

Avvocato Titolare del trattamento: in questo caso l’avvocato sarà Titolare del trattamento se i dati vengono forniti dall’interessato stesso che diverrà assistito dell’avvocato in virtù del mandato che l’interessato gli ha conferito. 

Avvocato Responsabile del trattamento: in questo caso l’avvocato sarà Responsabile del trattamento perché i dati sono stati conferiti da un altro Titolare del trattamento che ha richiesto una consulenza per conto dei propri interessati; allo stesso modo, l’avvocato sarà Responsabile del trattamento nel caso in cui sia una Collega a chiedere una consulenza.

  1. Attività esternalizzata di recupero crediti - Avvocati e Società

Nel 2016 il Garanate ha divulgato un Vadecum delle attività di recupero crediti, precisando che l’attività deve essere svolta nel rispetto della dignità del debitore ed evitando comportamenti invasivi che ledano la riservatezza dell’individuo.

All’interno del Vadevecum si fa anche riferimento alla designazione di Avvocati e società di recupero crediti a cui viene affidato il mandato e, più precisamente, viene enunciato che qualora ci si rivolga a terzi, che siano avvocati o società specializzate nel recupero crediti o ad altri liberi professionisti che operano in virtù dei contratti di servizio, è d’obbligo nominare queste figure autorizzate al trattamento dati Responsabili del trattamento. 

Obbligo del Titolare sarà sempre quello di sorvegliare sull’attività di trattamento svolta dal Responsabile nonché sui comportamenti da essi adottati, garantendo le libertà e diritti degli interessati.

Il Provvedimento n. 274 del 22 giugno 2016, che fa riferimento al caso Compass che, in qualità di Titolare, aveva esternalizzato l’attività di recupero recupero crediti. La società, che operava per conto di Compass, adottava una condotta scorretta e particolarmente invasiva  che ha spinto il debitore a presentare un reclamo al Garante.

Dopo le dovute verifiche, il Garante ha dichiarato illecita l’attività di trattamento effettuata dai Responsabili di Compass; contestualmente ha prescritto a Compass di adottare misure che rafforzassero il controllo sull’attività svolta dai propri responsabili al fine di rispettare la dignità del debitore. 

  1. Notai

Il Notaio è un pubblico ufficiale che ha istituzionalmente un ruolo di garanzia ed imparzialità ed ha il compito di dare pubblica fede agli atti tra privati ed alle informazioni in essi contenute, in modo che chiunque vi possa fare affidamento; per questo motivo non è possibile associare il ruolo da Responsabile. E, poiché ha un ampio grado di autonomia, nel caso del notaio, si farà sempre riferimento alla figura di titolare autonomo del trattamento dei dati personali dei clienti.             

  1. Società di assistenza e di manutenzione informatica

Risulta necessaria la nomina a Responsabile del trattamento per tutte le società di consulenza informatica poiché, in fase di manutenzione da remoto, potrebbero avere accesso, anche occasionale, ai dati personali del Titolare del trattamento. 

  1. Società che offrono il servizio di manutenzione e noleggio stampanti e/o fotocopiatrici

Come nel caso delle società che forniscono assistenza informatica, anche per le società che offrono, al Titolare del trattamento, il proprio servizio di manutenzione, in modalità remota, di stampanti e fotocopiatrici tecnologicamente evolute e che conservano dati al loro interno dei dati personali,è necessaria la nomina a Responsabile del trattamento.

  1.  Società che offrono il servizio di conservazione della documentazione cartacea

Se, per la conservazione della documentazione cartacea,  il Titolare del Trattamento si avvale di una società esterna, la stessa dovrà essere nominata Responsabile del trattamento.

  1.  Periti esterni

Quando ci si avvale di professionisti esterni, come il caso del perito immobiliare che fornisce una perizia alla banca, è opportuno regolare tutti gli aspetti privacy.

Se il Titolare del trattamento nomina un libero professionista il quale opera sotto la stretta autorità del Titolare, il professionista verrà nominato soggetto autorizzato. 

Se invece ci si rivolge ad uno studio associato o qualsiasi organizzazione strutturata, verrà predisposta una nomina a Responsabile del trattamento della società.  

  1.  Consulenti del lavoro

Il Consiglio Nazionale dei Consulenti del Lavoro ha dichiarato, nella circolare n. 1150 del 2018, che la figura del consulente del lavoro, sulla base del grado di autonomia, può assumere sia il ruolo del Responsabile che di Titolare.

Nel caso in cui, il consulente del lavoro sia richiamato per l’elaborazione delle paghe dei dipendenti del Titolare del trattamento, tale soggetto verrà nominato Responsabile esterno del trattamento. 

  1.   Medico del lavoro

Poiché il medico del lavoro, previsto dal D. Lgs. n. 81 del 2008, tratta dati dei dipendenti del Titolare è una figura privacy da configurare.

Poiché gode di una ampia autonomia di trattamento, il medico del lavoro è da considerare come Titolare autonomo; la titolarità del medico del lavoro è definita dal tipo di attività di trattamento svolta, infatti quest'ultimo non solo viene a conoscenza di dati particolari ma ha anche l’obbligo di conservare i dati presso i propri archivi, trasmettendo, al Titolare del trattamento, il solo certificato di idoneità/non idoneità del dipendente.  

  1.   Responsabile del servizio di prevenzione e protezione esterno

Per quanto attiene alla figura del responsabile del servizio di prevenzione e protezione (c.d. RSPP) previsto nell’ordinamento dal D.Lgs. n. 81 del 2008, tale figura è probabile che entri in contatto con dati personali e pertanto tale rapporto è necessario che venga disciplinato anche sotto gli aspetti privacy.

Nel caso in cui il titolare si avvalga di un libero professionista freelance che operi prevalentemente presso la sede del titolare per mezzo di strumenti del titolare stesso, si provvederà a nominare tale soggetto quale autorizzato al trattamento.

Nel caso in cui il titolare invece si affidi ad un consulente esterno strutturato, es. una società specializzata, è tenuto a nominare tale società quale responsabile esterno del trattamento. 

  1. Provider di servizi di hosting su internet

Il provider di servizi Internet (ISP) che fornisce servizi di hosting ad un Titolare del trattamento, ricopre il ruolo di Responsabile del trattamento perché i dati dei suoi clienti risiedono all’interno dell'infrastruttura IT di cui il fornitore risulta anche essere il manutentore, per cui potrebbe avere accesso al dato personale degli interessati del Titolare del trattamento.

Però, come precisato dal parere 1/2010 del wp29, può avvenire che l'ISP tratti dati personali contenuti nei siti web, secondo i propri scopi e quindi ricoprirà il ruolo di titolare.

  1. Esternalizzazione di servizi postali

Se un Titolare del Trattamento esternalizza a società terze i servizi di postalizzazione, occorre nominare suddette società Responsabili del trattamento, poiché, come precisato dal parere 1/2010 del wp29, le finalità delle attività di trattamento sono determinate unicamente dal Titolare del trattamento. 

  1. Commercialista

Commercialista quale Titolare Autonomo

Il commercialista, quando svolge delle attività di trattamento conferite direttamente dal soggetto interessato, assume il ruolo di Titolare autonomo poiché fornisce servizi al cittadino o piccoli imprenditori relativamente a dichiarazioni fiscali ed altri adempimenti alla persona fisica (elaborazione modello ISEE, elaborazione ed invio telematico modello Unico PF e 730, addebito F24/F23; richiesta rateazione di avvisi bonari e cartelle Agenzia della Riscossione, elaborazione ed invio telematico modello IMU, ecc).

L’inquadramento del ruolo di titolare autonomo, poiché le attività sono svolte in piena e completa autonomia e indipendenza, va considerato anche nei casi in cui il commercialista riceva incarichi come revisore dei conti o membro del collegio sindacale, così come nello svolgimento di incarichi disciplinati da leggi o regolamenti che richiedano il rilascio di pareri da parte del professionista

L’attività del revisore riguarda l’analisi dei bilanci, la raccolta e la relativa esaminazione di documentazione probatoria relative al prospetto del bilancio; ne seguiranno verifiche trimestrali e conclusioni e giudizi formulati dal revisore. Relativamente alla suddetta attività, il commercialista può trattare dati personali di qualsiasi natura di dipendenti, clienti e fornitori, contenuti in archivi digitali, cartacei o supporti di qualsiasi genere entro cui sono conservati i dati.

Dal momento che il revisore definisce autonomamente le finalità, le modalità di trattamento e fissa i tempi di conservazione risulta essere, ovviamente, un titolare autonomo. 

Tra gli obblighi previsti vi è l’archiviazione  delle copie dei propri “documenti di lavoro” e, qualora sia richiesto dalle Autorità competenti, ha l’obbligo di esibirli a queste ultime.

Commercialista quale Responsabile del Trattamento

Nel caso in cui il commercialista sia chiamato ad elaborare i dati di soggetti terzi per conto del Titolare del trattamento, che fornisce istruzioni molto dettagliate su come svolgere l’attività di trattamento, esso ricoprirà il ruolo di Responsabile del trattamento.

Quindi, in questo caso, non avrà piena autonomia e non sono richiesti pareri o decisioni del professionista, come nel caso dell’elaborazione dei cedolini paga dei dipendenti.

In sintesi, se il commercialista tratta dati personali dei dipendenti, clienti o fornitori del committente, se il commercialista tratta i dati per conto del committente stesso o se il commercialista elabora i dati secondo le istruzioni del committente, allora sarà nominato Responsabile del trattamento.

Commercialista quale soggetto autorizzato

Se il commercialista ricopre il ruolo di membro dell’Organismo di Vigilanza (“OdV”), istituito ai sensi del D.lgs 231/2001 deve essere considerato come soggetto autorizzato o designato. Tale definizione è divenuta oggetto di dibattiti. 

Un chiarimento è stato fornito dal Garante, nel Parere del 21 maggio 2020  sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231,che ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza riguardo ai trattamenti dei dati personali svolti nelle loro funzioni, determinando che i singoli membri dell’OdV dovranno essere designati quali soggetti autorizzati al trattamento dei dati personali.

Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.