giovedì 5 aprile 2018

[GDPR] Data Controller e Data Processor: chi sono e che responsabilità hanno?


Il GDPR non solo specifica e dettaglia il ruolo di alcune figure afferenti alla privacy e sicurezza dei dati giò esistenti nel nostro ordinamento, ma ne introduce anche di nuove. Ne elenchiamo e dettagliamo 3: il D.P.P (rimandiamo all'articolo Il DPO: una figura professionale per privacy e sicurezza), il Data Controller e il Data Processor. 

1. Chi è il Data Controller?
Il Data controller, definito dall'articolo 4 del GDPR, è la persona fisica o legale, l'autorità pubblica, l'ente ecc... che individualmente o in collaborazione con altri soggetti, determina finalità e mezzi del trattamento dei dati personali: è il Titolare del trattamento. Non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l'obbligo di notifica al Garante nei casi previsti. Tra questi obblighi è importante ricordare che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato (privacy by design): ad esempio deve occuparsi di organizzare un piano di mitigazione dei rischi, del P.i.A (Privacy Impact Assessment, un documento di valutazione dei rischi che l’azienda ha l’obbligo di redigere, comprendente un elenco dei rischi all’interno dell’azienda - per esempio incendio oppure allagamento- e un programma con le indicazioni per gestirli e risolverli) ecc...

Il Data Conroller è responsabile e deve poter dimostrare di essere conforme ai principi di liceità, correttezza, trasparenza, riduzione dei dati, accuratezza, limitazione e integrità dello spazio di archiviazione e riservatezza.

Il Data Controller nomina, con contratto o atto giuridicamente valido, il Data Processor, insieme al quale pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio. Anche se il trattamento è illecito è al Data Controller che vanno indirizzate le richieste di tutela dei propri dati in caso di violazione dei diritti dell'interessato. 

2. Chi è il Data Processor?
Il Data Processor è il responsabile del trattamento, ovvero è la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che elabora i dati personali per conto del responsabile del trattamento. E' possibile nominare più Data processor. Il tipo di Data Processor, così come le modalità per la regolamentazione della relazione possono variare in base al tipo di servizi che l'accesso ai dati può comportare. Ad esempio può includere servizi il cui scopo principale è il trattamento di dati personali (una società che offre un servizio di archiviazione di dati sui propri server), oppure trattare dati esclusivamente come conseguenza dell'attività fornita (il gestore di un servizio pubblico municipale). 

Sono responsabilità del Data processor la raccolta, registrazione, organizzazione, strutturazione, modifica, consultazione, uso, cancellazione, distruzione dei dati, ovviamente in stretta relazione e accordo con le finalità del trattamento stesso. In sunto il Data Processor ha la facoltà di operare tutte le decisioni organizzative e operative necessarie a fornire il servizio. Non può invece, in alcun caso,  alterare la finalità del trattamento: infatti il Data Processor può muoversi solo entro l'ambito delle decisioni prese dal data Controller, in conformità ovviamente con quanto previsto dal GDPR. 

Come si regola la relazione tra Data Controller e Data Processor?
La relazione tra queste due figure deve essere regolata da un contratto o qualsiasi altra forma di atto legale che leghi le due figure. Deve essere un atto scritto: il GDPR introduce la possibilità di un atto legale unilaterale generato dal Data Controller. L'atto giuridico deve stabilire e definire la posizione del Data Processor e vincolarlo legalmente.

In base all'art. 28 del nuovo regolamento europeo, la nomina deve avvenire tramite contratto o altro "atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Data Controller". Col contratto il Data Controller delega al Data Processor la concreta gestione del trattamento, affidandogli uno o più compiti specifici e dettagliati oppure una serie di compiti più generici.

Data Controller VS Data Processor
La distinzione è importante per la compliance. In linea generale il GDPR considera il responsabile del trattamento come il soggetto più importante in termini di responsabilità: deve occuparsi della raccolta dei consensi, della gestione degli stessi, della revoca, deve garantire il diritto di accesso ecc... Un interessato che desideri la rimozione dei propri dati personali dovrà contattare il Data Controller per inoltrare la richiesta, anche nel caso in cui i dati in questione siano ospitati sui server appartenenti al Data Processor. Dovrà essere il Data Controller a procedere e a richiedere al Data Processor la rimozione dei dati. 

Un esempio: se l'azienda A vende gadget ai propri clienti e si affida all'azienda B per l'email marketing dei propri prodotti e per tracciare le attività di comunicazione, in relazione a tali dati l'azienda A è il Data Controller, l'azienda B e il Data processor. 

Il Data Processor in ogni caso non perde mai la responsabilità di dover garantire che i dati personalia affidatigli siano correttamente elaborati e resta responsabile della salvaguardia dei diritti degli interessati. Il Data Controller deve esercitare particolare diligenza nella scelta e nella supervisione del Data Processor. 

Contitolarità
E' possibile che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti. In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

Nessun commento:

Posta un commento