Si tratta di una figura di rilievo, il cui compito di determinare finalità e mezzi del trattamento racchiude numerosi adempimenti
Il Regolamento Ue n. 2016/679 introduce alcune novità con riguardo ai soggetti coinvolti nel trattamento dei dati personali e ai relativi compiti e attribuzioni.
In particolare, con specifico riferimento al “titolare del trattamento dei dati”, l’art. 4 n. 7 del Regolamento lo definisce come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
Si tratta di una figura di assoluto rilievo, per la quale si stabilisce la relativa responsabilità generale per qualsiasi trattamento di dati personali effettuato direttamente ovvero effettuato da altri per suo conto. In considerazione di ciò, salvo prova contraria, non deriva alcuna traslazione di responsabilità su altre “figure” comunque legalmente coinvolte nel trattamento.
Determinare “finalità e mezzi del trattamento” racchiude una considerevole sequenza di adempimenti – e connesse responsabilità – che possono essere sinteticamente evidenziate: nella predisposizione di misure adeguate a conformare le attività al dettato regolamentare, mediante la previa, compiuta, analisi della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche; nell’attuazione di adeguate politiche di protezione dei dati; nell’onere di fornire dimostrazione circa la corretta esecuzione degli adempimenti; nella costante attività di monitoraggio della correttezza del trattamento in essere e, in caso di modificazioni normative ovvero del trattamento, nella capacità reattiva, e proattiva, di conformare la privacy compliance alle nuove occorrenze.
Tanto premesso, è quindi comprensibile perché il Regolamento non abbia nominato la rubrica dell’articolo 24 come “Titolare del trattamento” ma, piuttosto, “Responsabilità del titolare del trattamento”.
E non inganni quanto previsto nel terzo comma dell’articolo, ossia che l’adesione a “codici di condotta” o a un “meccanismo di certificazione” possa essere utilizzata come elemento atto a dimostrare il rispetto degli obblighi del titolare: è solo un possibile viatico per il raggiungimento della correttezza, tuttavia privo di effetti concreti se non supportato, come detto, da tutte le altre necessarie attività.
Infatti, qualsiasi best practice, linea guida o codice di condotta non può che fornire orientamenti di massima per la messa in atto di misure adeguate a quel livello di rischio, del tutto “soggettivo”, che il titolare ha l’onere, eventualmente, di individuare: con la precisazione che l’eventualità non attiene all’obbligo di compiere l’analisi del rischio, ma piuttosto alla sua classificazione [a voler semplificare, (1) assenza, (2) basso, (3) medio o (4) elevato].
Per queste ragioni il Regolamento prevede la predisposizione di misure di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (altrimenti dette, privacy by design e by default).
Quindi, partendo da politiche “interne” di formazione e attuazione di misure “minimali”, ma di considerevole efficacia, quali la riduzione al minimo necessario del trattamento o la pseudonimizzazione dei dati, passando per la trasparenza di funzioni e trattamento anche declinata in chiave di diritto di accesso dell’interessato, per giungere mediante gli opportuni passaggi alla corretta privacy compliance.
La progressione alla quale si è accennato, peraltro, può rappresentare anche il sostrato per l’eventuale contratto di designazione del responsabile del trattamento (eventuale perché detta designazione non rappresenta affatto un obbligo per il titolare): atto, questo, assolutamente vincolante per il responsabile che, appunto, è tenuto a osservare le prescrizioni contrattuali in termini di materia disciplinata, durata, natura e finalità del trattamento, tipo di dati personali e categorie di interessati, tenuto anche conto dei suoi compiti e delle responsabilità specifiche nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.