Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
La pillola di oggi riguarda: Titolare, Contitolare, Responsabile e
Incaricato del Trattamento
Il GDPR innova
parzialmente i diritti dell’Interessato rispettivamente al trattamento dei
propri dati personali.
Il titolare del trattamento stabilisce
le finalità e le modalità del trattamento dei dati personali, ovvero decide il «perché»
e il «come» devono essere trattati i dati personali. I dipendenti che trattano
i dati personali all’interno dell’organizzazione aziendale lo fanno per
adempiere ai compiti di titolare del trattamento dell’azienda/organizzazione.
Il contitolare del trattamento si
configura quando, l’azienda/organizzazione insieme a una o più organizzazioni
definisce congiuntamente il «perché» e il «come» devono essere trattati i dati
personali. I contitolari del trattamento sono tenuti a stipulare un accordo che
definisca le rispettive responsabilità nel rispetto delle norme del GDPR. I
contitolari del trattamento sono tenuti a comunicare alle persone i cui dati
sono oggetto di trattamento, i contenuti del summenzionato accordo.
Il responsabile del trattamento tratta i
dati personali solo per conto del titolare del trattamento ed è, solitamente,
un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese,
un’impresa può agire in qualità di responsabile del trattamento per un’altra
impresa. Gli obblighi del responsabile del trattamento nei confronti del
titolare del trattamento devono essere specificati in un contratto o in un
altro atto giuridico. Un’attività tipica svolta dai responsabili del
trattamento è quella di offrire soluzioni IT, inclusa l’istallazione di sistemi
e l’archiviazione su cloud. Il responsabile del trattamento può subappaltare
una parte delle sue funzioni a un altro responsabile del trattamento o nominare
un co-responsabile solo previa autorizzazione scritta del titolare del
trattamento.
Vi sono situazioni in cui un’entità
può essere titolare del trattamento, responsabile del trattamento o entrambi.
Cosa cambia:
• Il GDPR disciplina la
contitolarità del trattamento (art. 26) e impone ai titolari di definire
specificamente (con un atto giuridicamente valido ai sensi del diritto
nazionale) il rispettivo ambito di responsabilità e i compiti con particolare
riguardo all’esercizio dei diritti degli interessati, che hanno comunque la
possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti
congiuntamente.
• Il nuovo regolamento, inoltre, fissa
più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche
dell’atto con cui il titolare designa un responsabile del trattamento
attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o
altro atto giuridico conforme al diritto nazionale) e deve disciplinare
tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine
di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in
particolare, la natura, durata e finalità del trattamento o dei trattamenti
assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e
organizzative adeguate a consentire il rispetto delle istruzioni impartite dal
titolare e, in via generale, delle disposizioni contenute nel regolamento.
• Infine, il GDPR consente la nomina
di sub-responsabili del trattamento da parte di un responsabile (si veda art.
28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli
stessi obblighi contrattuali che legano titolare e responsabile primario;
quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale
sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal
trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo
imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Cosa Fare?
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico, proporremo alcune semplici idee per poter approcciare
alle novità del GDPR.
Il consiglio proposto per tutte le pills è oltremodo valido per questo
argomento che presenta profili di valutazione della presenza e consistenza
delle lettere d’incarico all’interno dell’azienda. L’unico consiglio che
possiamo proporre per rendersi conto della necessità dell’adeguamento al GDPR è
quello di ricercare le lettere d’incarico di responsabili e incaricati e
confrontarne il contenuto con le prescrizioni degli articoli sopra citati.
A differenza delle pills precedenti riproporremo gli esempi
elaborati dalla Commissione Europea per valutare la propria posizione e quella
dei propri Partner.
Titolare del trattamento e
responsabile del trattamento
Un birrificio ha molti dipendenti.
Firma un contratto con una società addetta all’elaborazione delle buste paga
per pagare gli stipendi. Il birrificio indica a tale società quando deve essere
pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le
buste paga e i pagamenti. La società fornisce il sistema informatico e conserva
i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società
addetta all’elaborazione delle buste paga è il responsabile del trattamento.
Contitolari del trattamento
La tua azienda/organizzazione offre
servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la
tua azienda/organizzazione ha un contratto con un’altra azienda che consente di
offrire servizi a valore aggiunto. Questi servizi includono la possibilità per
i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi
e DVD che la baby-sitter può portare con sé. Entrambe le aziende sono coinvolte
nella configurazione del sito web. In questo caso, le due aziende hanno deciso
di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e
noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti.
Pertanto, le due aziende sono contitolari del trattamento perché non solo
accettano di offrire la possibilità di «servizi combinati», ma progettano e
utilizzano anche una piattaforma comune.
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Nessun commento:
Posta un commento