Questo articolo rientra nella serie di contenuti di approfondimento legati al tema del Registro del Trattamenti. In questo focus ci concentreremo sugli elementi essenziali per la compilazione del Registro del Titolare, uno strumento cruciale per garantire la conformità al Regolamento Generale sulla Protezione dei Dati.
Compilazione del Registro del Titolare: Guida Completa all’Articolo 30 GDPR
Il titolare nel compilare il Registro è tenuto ad inserire alcune informazioni che il GDPR predefinisce e più in particolare deve inserire:
“Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.”
Individuate sopra con l’ausilio delle definizioni figure coinvolte nella compilazione occorre ora illustrare brevemente la figura del contitolare. Con riferimento alla figura dei contitolari è utile ribadire che il fatto costitutivo della contitolarità è rappresentato dalla determinazione congiunta delle finalità e dei mezzi del trattamento e non l’esistenza o meno di un accordo tra le parti, non rileva infatti né l’accordo tra le parti né il nomen iuris utilizzato dalle parti per qualificare il negozio.
In presenza di una violazione del GDPR, infatti, il giudice competente alla ricostruzione dei fatti analizzerà il caso concreto e dunque l’esistenza di una determinazione congiunta delle finalità e dei mezzi del trattamento in concreto e non il contenuto dell’accordo di contitolarità qualora divergente dal principio enunciato richiamandosi in tal senso l’art. 26, par. 2 e par 3 del GDPR che offre alcune indicazioni per individuare il ruolo da attribuire a ciascun contitolare nonché sull’effettiva tutela dell’interessato.
Accountability: le responsabilità dei Contitolari
In ambito di accountability le parti sono tenute a delineare adeguatamente i rispettivi ruoli e i rapporti dei contitolari che assumono con gli interessati e, il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
In tema di responsabilità nei confronti dell’interessato occorre precisare che, a norma dell’art. 26, par 3 del GDPR, indipendentemente dalle disposizioni dell’accordo tra i contitolari, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento e quindi il GDPR se da un lato consente ai titolari di sottoscrivere un accordo dall’altro esclude la possibilità di limitare le singole responsabilità dei contitolari. L’autonomia privata, pertanto, non può derogare alle disposizioni poste a presidio dei diritti degli interessati.
Poiché in un trattamento può essere presente un titolare oppure in alternativa due o più titolari, rinviandosi per approfondimento alle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR adottate il 7 luglio 2021”, nel caso di due o più titolari, il trattamento viene svolto in regime di contitolarità a norma dell’art 26 par. 1 del GDPR, la medesima attività deve essere censita nei registri di ciascun Titolare.
Occorre chiarire, e quindi tenere presente, che la determinazione delle finalità dei mezzi del trattamento tra due o più contitolari non implica necessariamente la determinazione completa delle finalità dei mezzi del trattamento ma può presentarsi con una modalità di condivisione parziale delle finalità dei mezzi del trattamento.
Finalità del Trattamento e Base Giuridica: Elementi Chiave per la Compliance
“Le finalità del trattamento e base giuridica del trattamento”
L’avvio di ciascun trattamento dei dati personali può avere luogo esclusivamente se associato ad una finalità (scopo del trattamento) individuata preventivamente e in modo puntuale per ciascun trattamento e per ciascuna categoria di interessati e in coerenza con le condizioni di liceità previste.
L’art. 5 par. 1 lett. b) del GDPR specifica che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, par. 1 del GDPR, considerato incompatibile con le finalità iniziali («limitazione della finalità»).
Il Titolare è dunque tenuto ad individuare le finalità del trattamento prima del suo avvio e questo anche quale forma di garanzia per l’interessato al quale è così garantita una forma di controllo in omaggio al principio di trasparenza.
Categorie di Interessati e Dati Personali nel GDPR: Classificazione e Protezione
“Una descrizione delle categorie di interessati e delle categorie di dati personali;
La descrizione delle categorie di interessati deve avvenire per macroaree dei soggetti interessati e non per ciascun nominativo e quindi ad esempio (dipendenti, fornitori, minori, pazienti ecc.).”
Premesso che il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento o ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, i dati personali si possono distinguere in tre categorie.
La descrizione categorie di dati personali deve avvenire per macroaree dei dati e quindi ad esempio:
- I dati comuni (ad esempio: nome e cognome, il codice fiscale, l’indirizzo IP etc.).
- I dati rientranti in particolari categorie (art. 9): si tratta dei dati c.d. “ex sensibili” con l’aggiunta dei dati genetici e biometrici e cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.
- I dati relativi a condanne penali e reati (art. 10): si tratta dei dati c.d. “ex giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Rientrano in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Destinatari dei Dati Personali nel GDPR
“Le categorie dei destinatari a cui i dati personali sono stati o saranno comunicati compresi i destinatari, dei paesi terzi o organizzazioni internazionali.”
Il GDPR utilizza il termine di comunicazione, (art. 4, par. 1, n. 9), la cui definizione è invece contenuta nell’art. 2-ter comma 4 del Codice privacy alla lettera a) unitamente al termine di diffusione contenuta alla successiva lettera b) così da differenziare le due azioni che avvengono con modalità distinte e raggiungono una differente platea di destinatari.
L’Autorità sul proprio sito internet ha precisato che il campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” deve contenere, anche semplicemente la categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi).
Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali.
Trasferimenti di Dati Personali verso Paesi Terzi o Organizzazioni Internazionali
“Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.”
L’art. 30 del GDPR individua le informazioni relative al trasferimento dei dati personali quale contenuto obbligatorio da inserire nel registro dei trattamenti del titolare e del responsabile. Il trasferimento dei dati personali deve essere eseguito a norma degli artt. 44-49 del GDPR applicabili al trasferimento dei dati personali fermo restando la necessità di coerenza del trasferimento stesso con tutte le altre disposizioni vigenti in materia.
Principi Fondamentali del GDPR sul Trasferimento dei Dati Personali
Dall’art. 1, par. 1 del GDPR, cui per una lettura completa comunque si rinvia, rubricato “Oggetto e finalità” si evince uno dei principi innovativi presenti nel regolamento che così recita: “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione di tali dati”.
Il concetto di privacy si evolve da diritto alla riservatezza e di rispetto alla propria sfera personale di ciascun interessato al diritto, per ciascun interessato di controllare l’uso che altri fanno delle informazioni che lo riguardano.
Prima di illustrare le disposizioni relative al trasferimento dei dati occorre definire l’ambito di territoriale di applicazione della normativa del Regolamento, poiché il principio enunciato all’art. 3 del GDPR26 “ambito di applicazione territoriale” governa la circolazione dei dati personali all’interno dell’Unione Europea mentre l’art 44 GDPR27 “principio generale per il trasferimento” enuncia la regola che governa il trasferimento dei dati al di fuori dell’Unione Europea a norma della quale tutte le disposizioni del Capo V sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.
Il Capo V del GDPR rubricato “Trasferimento dei dati personali verso paesi terzi o organizzazioni internazionali” disciplina tale materia e consente il trasferimento dei dati personali nei seguenti casi:
- Trasferimento sulla base di una decisione di adeguatezza (art. 45 GDPR);
• Trasferimento soggetto a garanzie adeguate (art. 46 GDPR); Norme vincolanti d’impresa (Art. 47 GDPR);
• Trasferimento o comunicazione non autorizzati dal diritto dell’Unione (Art. 48 GDPR);
• Deroghe in specifiche situazioni (art. 49 GDPR).
In questo articolo abbiamo esaminato gli elementi fondamentali per la compilazione del Registro del Titolare, in conformità all’art. 30 del GDPR. Abbiamo approfondito le figure coinvolte, le finalità del trattamento, le categorie di interessati e di dati personali, i destinatari dei dati e i trasferimenti verso paesi terzi. Nel prossimo articolo della serie, ci concentreremo in particolare sul tema del “Trasferimento dei Dati Personali nel GDPR”. Per un quadro completo dell’argomento, vi invitiamo a scaricare il nostro white paper dedicato dal titolo “Registro dei Trattamenti”.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
https://www.ictsecuritymagazine.com/articoli/gdpr-linee-guida/