Il Titolare del trattamento (data controller) è dunque colui che "da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali" (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d).

E’ anche, "la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (Codice in materia di protezione dei dati personali, art. 4).

Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l'obbligo di notifica al Garante nei casi previsti.

Nel settore privato il titolare del trattamento può essere una persona fisica oppure una persona giuridica.

Nel settore pubblico in genere il titolare del trattamento è l'autorità, cioè una persona giuridica.

Il titolare è l'ente nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile". Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (Parere del Garante 9 dicembre 1997). 

Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. 

E' possibile che ci siano più titolari del trattamento che decidono congiuntamente di trattare i dati per una finalità comune.

In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti.

In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari. 

Il titolare del trattamento ha l’obbligo di porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato (privacy by design). 

Il responsabile del trattamento, è una figura diversa ed è nominato proprio dal titolare del trattamento con un contratto o un atto giuridicamente valido.

Il responsabile del trattamento coadiuverà il titolare del trattamento per porre in essere le misure tecniche ed organizzative necessarie per garantire un livello di sicurezza adeguato al rischio.
Insieme il titolare del trattamento con il responsabile del trattamento, gli addetti al trattamento e nei casi previsti il D.P.O, concorrono nella progettazione, realizzazione e mantenimento della pricacy aziendale nel suo complesso.

Ovviamente eventuali responsabilità e sanzioni in caso di violazioni al dettato normativo ricadranno sul titolare del trattamento che da solo o insieme alle altre figure che in azienda o nell’ente si occupano della raccolta, trattamento, conservazione e distruzione dei dati dovrà rispondere economicamente e non solo del proprio operato e dell’operato dei propri collaboratori.

Vista dunque la complessità della materia è opportuno rivolgersi ai consulenti giusti quale il nostro studio per adeguarsi al G.D.P.R.

Pavia, lì 10 maggio 2018                                                    Avv. Valter Vernetti