La Guida del Garante italiano all’applicazione del Regolamento GDPR 2022: i cambiamenti per il titolare del trattamento
7 Febbraio 2022
Cancelliamo
i Dati Indesiderati
Chiama Ora 06 39754846
La Guida redatta dal Garante Privacy, che è l’Autorità preposta al controllo in materia di privacy e dati personali, intende avere lo scopo di consentire agli utenti la comprensione circa le principali problematiche che sia imprese che soggetti pubblici devono tenere presenti quando applicano il Regolamento, ovvero il GDPR.
Il titolare del Trattamento, chi è?
Il Titolare del Trattamento dei dati personali è colui che stabilisce perché ed in che modo devono essere trattati i dati personali.
Per fare un esempio consideriamo un’azienda: se l’azienda stabilisce motivi e modalità del trattamento significa che è Titolare dello stesso. L’azienda può anche essere contitolare del Trattamento ma in questo caso, tra i contitolari del Trattamento, andrà redatto un accordo definendo le rispettive responsabilità in tema di rispetto normativa GDPR. Il Titolare del Trattamento, inoltre ha anche la competenza per poter avviare una valutazione sull’impatto dei dati personali o in acronimo DPIA.
Gli aspetti di diversità con la previgente applicazione
Il regolamento determina la contitolarità del trattamento ai sensi dell’art. 26, chiarendo che i titolari hanno l’obbligo di definire in maniera specifica e chiara, attraverso un atto giuridicamente valido, che è il consenso, l’ambito di responsabilità nonché le competenze avendo particolare riguardo all’esercizio dei diritti degli interessati, che hanno in ogni caso la facoltà di rivolgersi ad uno qualsiasi dei titolari operanti congiuntamente.
Ancora il regolamento ha fissato in maniera più chiara e dettagliata quelli che sono i caratteri dell’atto preponderanti con cui il titolare indica un responsabile al trattamento attribuendogli i compiti a lui spettanti.
-questa immissione alla funzioni di responsabile deve avvenire attraverso contratto e deve disciplinare in maniera tassativa le materie riportate al paragrafo 3 dell’art. 28 per di dimostrare che il responsabile fornisce quelle che vengono indicate dal medesimo articolo come le “garanzie sufficienti”. Queste possono essere così riassunte:
-la natura,
-durata e finalità del trattamento;
-le categorie di dati oggetto di trattamento;
-le misure tecniche e organizzative proporzionate per consentire il rispetto delle istruzioni provenienti dal titolare;
Nomina del sub responsabile
Altra novità è la possibilità di nominare un sub-responsabile. Invero, al responsabile è consentito nominare un sub-responsabile al trattamento solo per specifiche attività dello stesso, e sempre nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile originario. Il responsabile primario, risponde però sempre dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche laddove, vi sia una responsabilità che comporta un risarcimento per eventuali danni causati dal trattamento.
Gli obblighi specifici in capo al Titolare
Sono poi, cambiate le norme rispetto agli obblighi specifici in capo ai responsabili del trattamento, poiché diversi da quelli pertinenti ai titolari. Siffatta ipotesi riguarda la tenuta del registro dei trattamenti svolti normati ai sensi dell’art. 30, paragrafo 2. Ancora, il titolare deve adottare idonee misure tecniche ed organizzative al fine di assicurare la sicurezza dei trattamenti. Deve altresì eleggere la figura del RPD-DPO in tutti i casi previsti dal regolamento o dal diritto. Infine, è bene tenere a mente che anche il responsabile non stabilito nell’Ue dovrà designare un rappresentante in Italia.
Le raccomandazioni del Garante
I titolari di trattamento in ogni caso hanno l’onere di valutare in maniera attenta l’esistenza di situazioni di contitolarità, poiché questi sono obbligati in questi particolari casi alla stipula di un accordo interno ai sensi dell’art. 26, paragrafo 1, del GDPR. Sarà, dunque, necessario, individuare il “punto di contatto per gli interessati” annunciato dalla norma de quo per indicare in maniera compiuta l’esercizio dei diritti previsti dal regolamento.
L’adesione ai codici deontologici
Al fine di stabilire al meglio il proprio lavoro, il titolare può usufruire dei codici deontologici. Attraverso i quali aderisce a schemi di certificazione tali da poter dimostrare quelle che sono le “garanzie sufficienti” ai sensi dell’art. 28, paragrafi 1 e 4. È ancora in corso la valutazione del Garante sui codici deontologici attualmente vigenti rispetto ad alcuni tipi di trattamento in un’ottica regolamentare ai sensi dell’art. 40. Invece, per quanto attiene gli schemi di certificazione è necessario aspettare anche l’intervento del legislatore nazionale, il quale avrà il compito di determinare alcune modalità di accreditamento dei soggetti certificatori.