Titolare del trattamento: chi è, gli obblighi e le responsabilità

Titolare del trattamento: chi è, gli obblighi e le responsabilità

Chi è il titolare del trattamento, quali obblighi ha (informativa, registro, sicurezza, data breach), cosa significa accountability, la differenza con il responsabile e chi risponde davanti al Garante.

In breve — Il titolare del trattamento è chi raccoglie e usa dati personali per una propria finalità — l’azienda, il professionista, il Comune, l’associazione — ed è «titolare» perché è il soggetto che decide come utilizzare quei dati e per quali scopi (art. 4 del GDPR). È la figura su cui grava il peso maggiore degli adempimenti — base giuridica, informativa, registro dei trattamenti, misure di sicurezza, gestione dei data breach — e che deve poter dimostrare di averli rispettati (accountability). Affidare i dati a un fornitore non lo libera: quel fornitore diventa “responsabile del trattamento”, ma il titolare resta il soggetto che risponde davanti al Garante.

1. Chi è il titolare del trattamento

Il titolare del trattamento è chi raccoglie e usa dati personali per perseguire una propria finalità. Si chiama «titolare del trattamento» proprio perché è il soggetto che ha il potere di stabilire come utilizzare quei dati e per quali scopi: è lui a decidere perché trattarli — le finalità — e con quali modalità farlo — i mezzi. È la figura centrale del sistema privacy, quella su cui ricade la responsabilità di rispettare il GDPR e di dimostrarlo.

La norma · Art. 4, n. 7, GDPR

Il «titolare del trattamento» è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Titolare del trattamento può essere un’impresa, un professionista, un’associazione, un ente pubblico. Un’azienda è titolare rispetto ai dati dei propri dipendenti e clienti; un Comune lo è rispetto ai dati dei cittadini che tratta. E non perde il ruolo — né la responsabilità — per il fatto di affidare materialmente il trattamento a un fornitore esterno.

Il titolare è sempre il soggetto, non la persona che agisce per esso. Nella pubblica amministrazione questo significa che il titolare è l’ente — il Comune, la ASL, la scuola — non il sindaco né il singolo dirigente o funzionario, che operano per suo conto e non in proprio. Allo stesso modo, in un’impresa il titolare è la società, non l’amministratore che la rappresenta.

C’è infine un criterio utile quando il ruolo non è ovvio: conta ciò che accade di fatto. Le linee guida europee (EDPB 07/2020) precisano che è titolare chi esercita un’influenza determinante sul trattamento, in base alle circostanze concrete — non chi viene semplicemente etichettato come tale in un contratto. Per questo uno stesso soggetto può essere titolare per certe attività e, allo stesso tempo, responsabile per altre.

2. Titolare e responsabile: la differenza

Accanto al titolare del trattamento ricorre spesso un’altra figura, che prende il nome di responsabile del trattamento: i due soggetti non vanno confusi. La differenza sta tutta nel potere di decidere. Il titolare stabilisce le finalità e i mezzi; il responsabile tratta i dati per conto del titolare, seguendone le istruzioni. Il titolare decide, il responsabile esegue.

Esempio

Un'azienda affida l'elaborazione delle buste paga a un service esterno, dandogli istruzioni precise su come procedere. L'azienda è il titolare (decide di trattare i dati retributivi dei dipendenti e a quale scopo); il service è il responsabile (elabora quei dati per conto dell'azienda, secondo le sue istruzioni).

Il responsabile va nominato con un contratto scritto (l’atto ex art. 28 del GDPR) che ne definisce compiti e limiti: chi è il responsabile, come si nomina e cosa deve contenere quel contratto lo abbiamo approfondito nella guida dedicata al responsabile del trattamento.

3. Gli obblighi del titolare del trattamento

Essere titolare non significa soltanto “avere” dei dati: significa rispondere di come vengono trattati, dal momento in cui si raccolgono fino a quando si cancellano. Il GDPR affida al titolare una catena di obblighi, e fra tutti quello che pesa di più — ed è anche il primo che il Garante verifica dopo un incidente — è la sicurezza dei dati.

Qui il Regolamento non impone una lista fissa di misure: chiede al titolare di adottare misure tecniche e organizzative adeguate al rischio (art. 32), scegliendole in base allo stato della tecnica, ai costi, alla natura dei dati e alla gravità delle possibili conseguenze per le persone. In concreto significa cifratura, controllo degli accessi, backup e capacità di ripristino, aggiornamento dei sistemi, formazione del personale, e la revisione periodica di tutto questo. Non un adempimento formale da spuntare una volta, ma un impianto di protezione da progettare fin dall’inizio e da mantenere nel tempo (privacy by design e by default, art. 25).

A monte c’è la liceità: ogni trattamento deve poggiare su una base giuridica (art. 6) e rispettare i principi dell’art. 5, dalla minimizzazione alla limitazione delle finalità. Da qui discendono gli adempimenti operativi, che conviene affrontare in un ordine preciso:

C’è infine un principio che li attraversa tutti: l’accountability (art. 5, par. 2). Non basta rispettare le regole: il titolare deve essere in grado di dimostrarlo, con documentazione, procedure e scelte tracciate. È il rovesciamento di prospettiva del GDPR — dall’autorizzazione preventiva alla responsabilizzazione di chi sceglie le misure e ne risponde.

4. La contitolarità: quando i titolari sono più di uno

Può accadere che due o più soggetti determinino insieme le finalità e i mezzi di un trattamento: in questo caso sono contitolari (art. 26 GDPR). Non è la stessa cosa del rapporto titolare-responsabile: qui nessuno agisce “per conto” dell’altro, decidono entrambi.

I contitolari devono definire con un accordo interno chi fa cosa — in particolare chi assolve gli obblighi di informativa e chi gestisce l’esercizio dei diritti degli interessati — e metterne a disposizione il contenuto essenziale. L’interessato, in ogni caso, può esercitare i propri diritti nei confronti di ciascuno dei contitolari.

5. Chi risponde: la responsabilità del titolare

È il punto che rende concreto tutto il resto: di una violazione risponde, in prima persona, il titolare. Ed è una responsabilità più gravosa che in passato, perché l’accountability ne ribalta l’onere della prova: non è il Garante a dover dimostrare che il titolare ha sbagliato, è il titolare a dover dimostrare di aver fatto le cose per bene. Chi non ha documentato le proprie scelte — misure di sicurezza, valutazioni del rischio, informative — parte già in svantaggio.

Sul piano economico la posta è alta. Le sanzioni del Garante arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per le violazioni di carattere organizzativo (sicurezza, registro, notifica dei data breach) e fino a 20 milioni o al 4% quando sono violati i principi fondamentali del trattamento o i diritti degli interessati. A questo si aggiunge il risarcimento del danno a chi è stato leso, che può essere chiesto anche in forma collettiva.

6. Come ti assiste lo Studio Legale Calzoni

Individuare correttamente il titolare — e i suoi obblighi — è la base di ogni impianto privacy: sbagliarlo significa costruire tutto il resto su una fondazione fragile. Lo Studio Legale Calzoni offre consulenza privacy e GDPR a imprese ed enti pubblici: definiamo l’assetto dei ruoli, impostiamo gli adempimenti del titolare (informative, registro, misure, procedure sui data breach) e il sistema di deleghe interne, e predisponiamo i contratti di nomina dei responsabili. Un assetto chiaro riduce il rischio di sanzioni e semplifica ogni adempimento successivo.

Domande frequenti

Chi è il titolare del trattamento? La persona fisica o giuridica, l’ente o l’autorità pubblica che determina finalità e mezzi del trattamento (art. 4, n. 7, GDPR): per esempio l’azienda rispetto ai dati di dipendenti e clienti, o il Comune rispetto ai dati dei cittadini.

Quali sono gli obblighi del titolare del trattamento? Individuare una base giuridica e rispettare i principi dell’art. 5, fornire l’informativa, tenere il registro dei trattamenti (art. 30), adottare misure di sicurezza (art. 32), garantire i diritti degli interessati, svolgere la DPIA quando serve, gestire i data breach e nominare il DPO se obbligatorio. E soprattutto dimostrare di averlo fatto (accountability).

Qual è la differenza tra titolare e responsabile del trattamento? Il titolare decide le finalità e i mezzi del trattamento; il responsabile tratta i dati per conto del titolare, seguendone le istruzioni. In sintesi: il titolare decide, il responsabile esegue.

Chi è il titolare del trattamento in un Comune (o nella PA)? Il titolare è l’ente (il Comune, la ASL, la scuola), non il sindaco né il singolo dirigente o funzionario, che agiscono per conto dell’ente. È l’ente a rispondere del trattamento.

Il titolare del trattamento può essere una società? Sì. Il titolare può essere una persona giuridica (società, associazione, ente): in tal caso è la società a essere titolare, non l’amministratore o il legale rappresentante, che agiscono per essa.

Cosa rischia il titolare del trattamento in caso di violazione? Sanzioni del Garante fino a 20 milioni di euro o al 4% del fatturato mondiale annuo (secondo la norma violata), oltre al risarcimento del danno agli interessati. La responsabilità resta sua anche quando il trattamento è affidato a un fornitore.

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.